Detección de Ransomware BlackByte: Nuevas Variantes Basadas en Go con Cifrado de Archivos Mejorado Siguen Infiltrándose en Organizaciones y Exigiendo Rescate

Ransomware BlackByte que apunta a infraestructuras críticas en EE.UU. y en todo el mundo desde mediados del verano de 2021, recientemente se ha transformado en una variante más avanzada. Se sabe que los adversarios exfiltran datos antes de desplegar el ransomware y luego amenazan a las organizaciones con filtrar los datos robados si no se paga un rescate.

Las muestras de ransomware fueron originalmente escritas en C# y posteriormente se reestructuraron en el lenguaje de programación Go, lo que permitió a los atacantes evolucionar el kit de herramientas del adversario y aplicar algoritmos de encriptación de archivos más avanzados y seguros que bloquean la recuperación de archivos. El código del ransomware utilizado en los últimos ataques de ransomware BlackByte se optimiza constantemente para eludir las soluciones de seguridad y evadir el análisis de malware, incluidos los herramientas de ofuscación de cadenas.

Detectar Ransomware BlackByte

Para defender proactivamente a las organizaciones contra nuevas muestras de ransomware BlackByte, SOC Prime ha lanzado un conjunto de reglas Sigma únicas y enriquecidas en contexto, escritas por nuestros prolíficos desarrolladores de recompensas de amenazas, Nattatorn Chuensangarun and Kaan Yeniyol:

Posible ejecución de Ransomware BlackByte creando una tarea programada para Print Bombing (mediante process_creation)

Posible Ransomware BlackByte deshabilita el acceso controlado a carpetas con Script Block de PowerShell

Evasión de defensa sospechosa del Ransomware BlackByte mediante modificación del formato de hora del sistema (mediante cmdline)

Con los actores de amenazas mejorando continuamente el ransomware BlackByte, todavía representa una seria amenaza para las organizaciones que operan en múltiples industrias en todo el mundo. Los cazadores de amenazas, ingenieros de detección y otros profesionales de InfoSec que se esfuerzan por mejorar la postura de ciberseguridad de la organización pueden unirse a la plataforma de SOC Prime y alcanzar una pila de detección integral para el ransomware BlackByte. Haz clic en el Ver Detecciones botón para obtener acceso al kit de reglas dedicadas. Los ingenieros de contenido de detección de amenazas progresivas y los investigadores en ciberseguridad que buscan formas de convertir su conjunto de habilidades de ciberseguridad individuales en colaboración industrial están invitados a unirse a las filas del Programa de Recompensas de Amenazas de SOC Prime, que permite monetizar la contribución de contenido.

Ver Detecciones Únete al Programa de Recompensas de Amenazas

Análisis de Ransomware BlackByte: Variantes basadas en Go

El ransomware BlackByte se ejecuta en un modelo de Ransomware-como-Servicio (RaaS) que apunta a organizaciones globales desde julio de 2021. Inicialmente involucrados en ataques a pequeña escala, los operadores de ransomware se encontraron en el ojo público en noviembre de 2021, habiendo comprometido varias empresas de EE.UU. y del mundo, incluidas infraestructuras críticas en los sectores de gobierno, financiero, alimentario y agrícola.

The ataque de ransomware BlackByte más reciente ha apuntado a la empresa de logística suiza M+R Spedag Group, y resultó en el robo de más de 8GB de datos de la empresa bajo la amenaza de publicar los activos filtrados en la dark web.

En una serie de ataques anteriores, se observó al grupo de hackers aprovechar la encriptación de archivos en los sistemas host de Windows de las víctimas y aprovechar una vulnerabilidad del servidor Microsoft Exchange para acceder a redes comprometidas. En respuesta a una escala de ataques que aumenta dinámicamente aprovechando el ransomware BlackByte, la Oficina Federal de Investigación (FBI) y el Servicio Secreto de EE.UU. (USSS) emitieron un consejo de ciberseguridad conjunto ofreciendo indicadores de compromiso asociados con la actividad maliciosa y recomendando medidas de mitigación del ransomware BlackByte.

Zscaler ThreatLabz ha identificado recientemente dos nuevas versiones de BlackByte programadas en el lenguaje Go. La primera variante de ransomware parece tener múltiples características comunes con las muestras originales de C# aprovechando los mismos comandos para moverse lateralmente y escalar privilegios junto con algoritmos de encriptación de archivos similares, mientras que la segunda versión de ransomware basada en Go, detectada en ataques cibernéticos más recientes, introduce una serie de actualizaciones significativas y encriptación de archivos más sofisticada, incluyendo criptografía de curva elíptica Curve25519 y ChaCha20 para encriptación asimétrica y simétrica, respectivamente. Además, la versión más avanzada de BlackByte basada en Go viene con una capacidad mejorada de almacenamiento de archivos de iconos y notas de rescate enriquecida con encriptación XOR.

El ataque cibernético comienza al acceder a un enlace en el portal de rescate y con una autenticación posterior usando una clave de acceso de la nota de rescate dejada en la máquina objetivo. Una vez autenticados, se exige a los usuarios comprometidos pagar un rescate bajo el riesgo de la filtración de sus datos.

Además, los actores de amenazas aplican bombarderos de impresión enviando un mensaje de rescate que está programado para ser impreso cada hora en dispositivos conectados.

Para mantenerse al tanto de las amenazas emergentes y reforzar el potencial de defensa cibernética de su organización, únase a la plataforma Detection as Code de SOC Prime y obtenga un valor inmediato de la entrega de contenido de detección en tiempo casi real, acompañada de capacidades automatizadas de búsqueda de amenazas y gestión de contenido.