Détection du ransomware BlackByte : de nouvelles variantes basées sur Go avec un chiffrement de fichiers amélioré continuent de violer les organisations et exigent une rançon

Ransomware BlackByte ciblant les infrastructures critiques aux États-Unis et dans le monde entier depuis le milieu de l’été 2021, a récemment évolué vers une variante plus avancée. Les adversaires sont connus pour exfiltrer des données avant de déployer le ransomware et menacent ensuite les organisations de divulguer les données volées si une rançon n’est pas payée.

Les échantillons de ransomware étaient à l’origine écrits en C# et ont ensuite été réécrits dans le langage de programmation Go, permettant aux attaquants de faire évoluer leur arsenal et d’appliquer des algorithmes de chiffrement de fichiers plus avancés et sécurisés qui bloquent la récupération des fichiers. Le code du ransomware utilisé dans les dernières attaques de BlackByte est constamment optimisé pour contourner les solutions de sécurité et échapper à l’analyse des malwares, y compris l’utilisation d’outils d’obfuscation de chaîne.

Détecter le Ransomware BlackByte

Pour défendre de manière proactive les organisations contre les nouveaux échantillons de ransomware BlackByte, SOC Prime a publié un ensemble de règles Sigma uniques et enrichies en contexte, écrites par nos prolifiques développeurs Threat Bounty, Nattatorn Chuensangarun and Kaan Yeniyol:

Exécution possible du Ransomware BlackByte par la création d’une tâche planifiée pour le bombardement d’impression (via process_creation)

Désactivation possible du contrôle d’accès aux dossiers protégés par le Ransomware BlackByte avec un bloc de script PowerShell

Évasion de défense suspecte du Ransomware BlackByte par modification du format de l’heure système (via cmdline)

Avec des acteurs de la menace qui améliorent continuellement le ransomware BlackByte, il représente toujours une menace sérieuse pour les organisations opérant dans de multiples industries à travers le monde. Les chasseurs de menaces, les ingénieurs de détection et d’autres praticiens en cybersécurité qui s’efforcent d’améliorer la posture de cybersécurité de l’organisation peuvent rejoindre la plateforme SOC Prime et atteindre une pile de détection complète pour le ransomware BlackByte. Cliquez sur le Voir Détections bouton pour accéder au kit de règles dédié. Les ingénieurs de contenu de détection de menaces progressifs et les chercheurs en cybersécurité qui cherchent des moyens de transformer leurs compétences individuelles en cybersécurité en collaboration industrielle sont invités à rejoindre les rangs du programme SOC Prime Threat Bounty, qui permet de monétiser la contribution de contenu. 

Voir Détections Rejoindre Threat Bounty

Analyse du Ransomware BlackByte : Variantes basées sur Go

Le ransomware BlackByte fonctionne sur un modèle Ransomware-as-a-Service (RaaS) ciblant les organisations mondiales depuis juillet 2021. Tout d’abord impliqués dans des attaques de petite envergure, les opérateurs de ransomware se sont retrouvés sous les feux de la rampe en novembre 2021, ayant compromis un certain nombre d’entreprises américaines et mondiales, y compris des infrastructures critiques dans les secteurs gouvernemental, financier, agroalimentaire et agricole. 

The La plus récente attaque de ransomware BlackByte a ciblé la société suisse de logistique M+R Spedag Group et a abouti au vol de plus de 8 Go de données de l’entreprise sous la menace de publier les actifs divulgués sur le dark web. 

Dans une série d’attaques antérieures, le groupe de hackers a été observé exploitant le chiffrement de fichiers sur les systèmes hôtes Windows des victimes et utilisant une faille Microsoft Exchange Server pour accéder aux réseaux compromis. En réponse à une augmentation dynamique de l’échelle des attaques utilisant le ransomware BlackByte, le Federal Bureau of Investigation (FBI) et le U.S. Secret Service (USSS) ont publié un avis conjoint de cybersécurité offrant des indicateurs de compromission associés à l’activité malveillante et des mesures de mitigation recommandées contre le ransomware BlackByte. 

Zscaler ThreatLabz a récemment identifié deux nouvelles versions de BlackByte programmées dans le langage Go. La première variante de ransomware semble avoir de nombreuses caractéristiques communes avec les échantillons originaux en C#, utilisant les mêmes commandes pour se déplacer latéralement et escalader les privilèges, ainsi que des algorithmes de chiffrement de fichiers similaires, tandis que la deuxième version de ransomware basée sur Go, repérée dans des cyberattaques plus récentes, introduit un ensemble de mises à jour significatives et un chiffrement de fichiers plus sophistiqué, incluant la cryptographie de courbe elliptique Curve25519 (ECC) et ChaCha20 pour le chiffrement asymétrique et symétrique respectivement. De plus, la version plus avancée de BlackByte basée sur Go est dotée de capacités de stockage de notes de rançon et d’icônes améliorées riches en chiffrement XOR.

L’attaque cybernétique commence par l’accès à un lien dans le portail de rançon et une authentification supplémentaire à l’aide d’une clé d’accès à partir de la demande de rançon déposée sur la machine ciblée. Une fois authentifiés, les utilisateurs compromis doivent payer une rançon sous le risque de fuite de leurs données. 

De plus, les acteurs de la menace appliquent le bombardement d’impression en envoyant un message de rançon qui est programmé pour être imprimé toutes les heures sur les appareils connectés.

Pour rester au fait des menaces émergentes et renforcer le potentiel de défense cybernétique de votre organisation, rejoignez la plateforme Detection as Code de SOC Prime et tirez un bénéfice immédiat de la livraison de contenu de détection en quasi temps réel accompagnée de capacités automatisées de chasse aux menaces et de gestion de contenu.