Detección de Ataques de Ransomware BlackByte
Tabla de contenidos:
Otro día — otro gran desafío para los practicantes de seguridad. Conozca a BlackByte, un nuevo anillo de ransomware como servicio (RaaS) que está asegurando el camino hacia la cima de la lista de amenazas. Los primeros incidentes atribuidos al colectivo BlackByte se detectaron en julio de 2021 y desde entonces los adversarios han evolucionado significativamente sus tácticas y herramientas. Actualmente, los investigadores de seguridad observan a BlackByte aprovechando las notorias vulnerabilidades ProxyShell para violar redes corporativas y cifrar los activos críticos.
¿Qué es el ransomware BlackByte?
Inicialmente, BlackByte apareció a mediados del verano de 2021, realizando ataques de baja intensidad contra usuarios ocasionales. El interés creciente en esta nueva variante alcanzó su pico en octubre de 2021 después de que los operadores de ransomware comprometieran la cooperativa de granos de Iowa. Desde entonces, los investigadores de seguridad siguieron múltiples ataques contra industrias de manufactura, minería, alimentos y bebidas, salud y construcción dentro de EE.UU., Europa y Australia.
Se cree que el grupo de ransomware BlackByte es de origen ruso, ya que los adversarios evitan atacar a empresas con sede en Rusia o en países de la CEI. Además, una de las funciones de cifrado de archivos de BlackByte se llama “Pognali”, que se traduce como “vamos” del idioma ruso.
Según la investigación de Trustwave, las muestras iniciales de BlackByte no eran realmente complejas. El ransomware usaba la misma clave para cifrar archivos en AES en lugar de utilizar las únicas para cada sesión de cifrado. Además, como los hackers usaron cifrado simétrico AES, la misma clave servía para los procesos de cifrado y descifrado. En caso de no haber opción para descargar la clave del servidor de los atacantes, la rutina del ransomware simplemente fallaba.
En vista de un enfoque tan simplista, los investigadores de seguridad de Trustware lanzaron un descifrador para el ransomware BlackByte en octubre de 2021. Sin embargo, los operadores de malware han actualizado sus tácticas desde entonces, dejando sin opción a las víctimas para descifrar sus archivos de forma gratuita. Además, según las últimas observaciones, los ataques de ransomware BlackMatter se están volviendo más sofisticados, con esfuerzos notables implementados para evadir la detección, el análisis y el descifrado.
Vulnerabilidades ProxyShell Aprovechadas para Desplegar BlackByte
Esta semana, los expertos de Red Canary compartieron un informe revelando que los operadores de BlackByte están utilizando activamente los exploits de ProxyShell para violar las redes objetivo.
ProxyShell es un título único para un trío de fallos separados (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) que, si se encadenan, permiten a los hackers alcanzar el nivel de acceso de administrador y realizar la ejecución de código remoto en servidores Microsoft Exchange vulnerables.
Según Red Canary, los mantenedores de BlackByte usan fallos de ProxyShell para colocar web shells en servidores Exchange expuestos. En caso de instalarse con éxito, los actores de la amenaza obtienen persistencia en las instancias objetivo e inyectan balizas de Cobalt Strike en el proceso del Agente de Actualización de Windows. De esta manera, los atacantes son capaces de extraer credenciales y obtener acceso a las cuentas. Además, los hackers instalan la herramienta AnyDesk para acceso remoto y proceden con movimientos laterales a través de la red.
Durante la siguiente etapa, el ejecutable de BlackByte entra en acción, desempeñando sus capacidades de gusano para infectar todos los activos disponibles. Antes de iniciar el proceso de cifrado, el malware elimina la tarea programada “Raccine Rules Updater” y borra copias sombra a través de objetos WMI. Finalmente, BlackByte extrae datos sensibles con WinRAR para usarlos posteriormente en una doble extorsión.
Detección de Ransomware BlackByte
Para ayudar a los profesionales de la seguridad a detectar infecciones de BlackByte y resistir exitosamente los ataques, el repositorio de Threat Detection Marketplace de la plataforma SOC Prime ofrece un lote de contenido de detección curado:
BlackByte Ransomware instala el paquete de herramientas de administración de servidor remoto
BlackByte Ransomware usa Eliminación de Tareas Programadas Raccine
BlackByte Ransomware usa Vssadmin para redimensionar almacenamiento de sombras
Explotación de ProxyShell lleva a Ransomware BlackByte a través de Process_Creation
BlackByte Ransomware consulta Active Directory para Nombres de Computadora
La lista completa de reglas Sigma para la detección de ransomware BlackByte está disponible a través de este enlace.
Además, puede consultar the Guías de la Industria: Defendiendo Contra los Ataques de Ransomware en 2021 proporcionadas por Vlad Garaschenko, CISO en SOC Prime. Estas guías cubren las mejores prácticas para la defensa contra ransomware y ofrecen las últimas detecciones contra ataques de ransomware para ayudar a los principales MSP y organizaciones en varios sectores a resistir proactivamente las intrusiones específicas de la industria.
Además, para asegurar que sus sistemas estén protegidos contra posibles intrusiones de BlackByte, verifique si ha implementado los parches para las vulnerabilidades ProxyShell. Para detectar actividad maliciosa posible asociada con estas fallas, descargue un conjunto de reglas Sigma disponibles a través del siguiente enlace.
Explore la primera plataforma del mundo para defensa cibernética colaborativa, caza de amenazas y descubrimiento para mejorar las capacidades de detección de amenazas y defenderse contra los ataques de manera más fácil, rápida y eficiente. ¿Desea crear sus propias reglas Sigma y YARA para hacer del mundo un lugar más seguro? Únase a nuestro Programa de Recompensa de Amenazas para obtener recompensas recurrentes por su valiosa contribución.
