Erkennung von BlackByte Ransomware-Angriffen

[post-views]
Dezember 03, 2021 · 4 min zu lesen
Erkennung von BlackByte Ransomware-Angriffen

Ein weiterer Tag  eine weitere große Herausforderung für Sicherheitsexperten. Lernen Sie BlackByte kennen, ein neues Ransomware-as-a-Service (RaaS)-Netzwerk, das sich an die Spitze der Bedrohungsliste arbeitet. Erste Vorfälle, die dem BlackByte-Kollektiv zugeschrieben werden, wurden im Juli 2021 entdeckt, und seitdem haben die Gegner ihre Taktiken und Werkzeuge erheblich weiterentwickelt. Derzeit beobachten Sicherheitsexperten, dass BlackByte berüchtigte ProxyShell-Schwachstellen ausnutzt, um in Unternehmensnetzwerke einzudringen und kritische Vermögenswerte zu verschlüsseln. 

Was ist BlackByte Ransomware?

Ursprünglich tauchte BlackByte im Hochsommer 2021 auf und führte weniger intensive Angriffe gegen Gelegenheitsnutzer durch. Das erhöhte Interesse an dieser neuen Variante erreichte im Oktober 2021 seinen Höhepunkt, nachdem die Ransomware-Betreiber die Iowa Grain Cooperative kompromittierten. Seitdem haben Sicherheitsexperten mehrere Angriffe gegen die Fertigungs-, Bergbau-, Lebensmittel- und Getränke-, Gesundheits- und Bauindustrie in den USA, Europa und Australien verfolgt.

Es wird angenommen, dass die BlackByte-Ransomware-Gruppe russischen Ursprungs ist, da die Gegner vermeiden, Unternehmen mit Sitz in Russland oder den GUS-Ländern anzugreifen. Darüber hinaus wird eine der Verschlüsselungsfunktionen von BlackByte „Pognali“ genannt, was aus dem Russischen übersetzt „los geht’s“ bedeutet.

Laut der Forschung von Trustwave waren die ersten BlackByte-Proben nicht wirklich komplex. Die Ransomware verwendete denselben Schlüssel, um Dateien in AES zu verschlüsseln, anstatt einzigartige Schlüssel für jede Verschlüsselungssitzung zu nutzen. Da AES-Symmetrische Verschlüsselung von den Hackern verwendet wurde, passte derselbe Schlüssel sowohl für den Verschlüsselungs- als auch den Entschlüsselungsprozess. Falls es keine Möglichkeit gab, den Schlüssel vom Server der Angreifer herunterzuladen, stürzte die Ransomware-Routine einfach ab. 

Angesichts eines solch einfachen Ansatzes veröffentlichten Sicherheitsexperten von Trustwave einen Dekryptor für BlackByte Ransomware im Oktober 2021. Seitdem haben die Malware-Betreiber jedoch ihre Taktiken aktualisiert, sodass es keine Möglichkeit mehr für Opfer gibt, ihre Dateien kostenlos zu entschlüsseln. Darüber hinaus werden laut den neuesten Beobachtungen BlackMatter-Ransomware-Angriffe immer raffinierter, mit erkennbaren Bemühungen, Erkennung, Analyse und Entschlüsselung zu vermeiden.

ProxyShell-Schwachstellen für die Bereitstellung von BlackByte genutzt

Diese Woche haben Red Canary-Experten einen detaillierten Bericht veröffentlicht, der zeigt, dass BlackByte-Betreiber aktiv ProxyShell-Exploits verwenden, um in Zielnetzwerke einzudringen. 

ProxyShell ist ein einzelner Titel für ein Trio separater Schwachstellen (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207), die, wenn sie kombiniert werden, Hackern den Zugriff auf die Administrator-Ebene und die Remote-Code-Ausführung auf anfälligen Microsoft Exchange-Servern ermöglichen.

Laut Red Canary nutzen BlackByte-Wartungsdienste ProxyShell-Schwachstellen, um Web-Shells auf exponierte Exchange-Server zu setzen. Bei erfolgreicher Installation erlangen Bedrohungsakteure Persistenz auf den Zielinstanzen und schieben Cobalt-Strike-Beacons, die in den Windows Update Agent-Prozess injiziert wurden. Auf diese Weise sind Angreifer in der Lage, Anmeldedaten zu extrahieren und auf die Konten zuzugreifen. Weiterhin laden Hacker das AnyDesk-Tool für den Fernzugriff herunter und fahren mit der seitlichen Bewegung im Netzwerk fort. 

Während der nächsten Phase tritt die BlackByte-Executable in Aktion und nutzt ihre wurmfähigen Fähigkeiten, um alle verfügbaren Vermögenswerte zu infizieren. Vor dem Start des Verschlüsselungsprozesses löscht die Malware die geplante Aufgabe „Raccine Rules Updater“ und entfernt Schattenkopien über WMI-Objekte. Schließlich extrahiert BlackByte sensible Daten mit WinRAR, um sie in der doppelten Erpressung weiter zu verwenden. 

Erkennung der BlackByte-Ransomware

Um Sicherheitsexperten dabei zu helfen, BlakcByte-Infektionen zu erkennen und den Angriffen erfolgreich zu widerstehen, bietet das Threat Detection Marketplace-Repository der SOC Prime-Plattform eine Reihe kuratierter Erkennungsinhalte: 

BlackByte Ransomware installiert Remote Server Admin Tools Paket

BlackByte Ransomware verwendet geplante Aufgabenlöschung von Raccine

BlackByte Ransomware verwendet Vssadmin zum Anpassen von Shadowstorage

ProxyShell-Ausnutzung führt über Process_Creation zu BlackByte-Ransomware

Versuch der Installation des Remote Server Admin Tools-Pakets (via Powershell)

BlackByte Ransomware fragt Active Directory nach Computernamen ab

Die vollständige Liste der Sigma-Regeln zur Erkennung von BlackByte-Ransomware finden Sie unter diesem Link.

Zusätzlich können Sie überprüfen the Industrierichtlinien: Verteidigung gegen Ransomware-Angriffe im Jahr 2021bereitgestellt von , CISO bei SOC Prime. , CISO bei SOC Prime.Diese Richtlinien decken bewährte Verfahren zur Ransomware-Verteidigung ab und bieten die neuesten Erkennungen gegen Ransomware-Angriffe, um führenden MSPs und Organisationen in verschiedenen Branchen proaktiv standzuhalten gegen branchenspezifische Eindringlinge.  These guidelines cover best practices for ransomware defense and offer the latest detections against ransomware attacks to help the leading MSPs and organizations in various sectors proactively withstand industry-specific intrusions. 

Um sicherzustellen, dass Ihre Systeme gegen mögliche BlackByte-Einbrüche geschützt sind, überprüfen Sie, ob Sie die Patches für ProxyShell-Schwachstellen implementiert haben. Um mögliche bösartige Aktivitäten in Verbindung mit diesen Schwachstellen zu erkennen, laden Sie ein Set von Sigma-Regeln herunter, verfügbar über den folgenden Link

Erkunden Sie die weltweit erste Plattform für kollaborative Cyber-Verteidigung, Bedrohungsjagd und Entdeckung, um Bedrohungserkennungsfähigkeiten zu verbessern und Angriffe einfacher, schneller und effizienter abzuwehren. Möchten Sie Ihre eigenen Sigma- und YARA-Regeln erstellen, um die Welt sicherer zu machen? Treten Sie unserem Threat Bounty Programm bei, um wiederkehrende Belohnungen für Ihren wertvollen Beitrag zu erhalten!

Zur Plattform gehen Threat Bounty beitreten

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Blog, Neueste Bedrohungen — 4 min zu lesen
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Veronika Telychko
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Blog, Neueste Bedrohungen — 5 min zu lesen
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Veronika Telychko