Rilevamento del Ransomware BlackByte: Nuove Varianti Basate su Go con Criptazione dei File Avanzata Continuano a Violare le Organizzazioni e Richiedere Riscatti

ransomware BlackByte che ha preso di mira le infrastrutture critiche negli Stati Uniti e in tutto il mondo dalla metà dell’estate 2021, si è recentemente trasformato in una variante più avanzata. Gli avversari sono noti per esfiltrare dati prima di distribuire il ransomware e poi minacciare le organizzazioni di divulgare i dati rubati se un riscatto non viene pagato.

I campioni di ransomware sono stati originariamente scritti in C# e successivamente sono stati riprogettati nel linguaggio di programmazione Go, consentendo agli attaccanti di evolvere il toolkit avversario e applicare algoritmi di crittografia dei file più avanzati e sicuri che bloccano il recupero dei file. Il codice del ransomware utilizzato negli ultimi attacchi del ransomware BlackByte è costantemente ottimizzato per eludere le soluzioni di sicurezza e evitare l’analisi malware, inclusi strumenti di offuscamento delle stringhe.

Rilevare il Ransomware BlackByte

Per difendere proattivamente le organizzazioni contro nuovi campioni di ransomware BlackByte, SOC Prime ha rilasciato un insieme di regole Sigma uniche e arricchite di contesto scritte dai nostri prolifici sviluppatori di minacce Bounty, Nattatorn Chuensangarun and Kaan Yeniyol:

Possibile esecuzione del Ransomware BlackByte creando una attività pianificata per il Print Bombing (tramite process_creation)

Possibile disabilitazione del Controlled Folder Access con script PowerShell da parte del Ransomware BlackByte

Evasione sospetta del ransomware BlackByte tramite modifica del formato temporale del sistema (via cmdline)

Con gli attori della minaccia che migliorano continuamente il ransomware BlackByte, continua a rappresentare una seria minaccia per le organizzazioni che operano in diverse industrie in tutto il mondo. I cacciatori di minacce, gli ingegneri di rilevamento e altri professionisti della sicurezza informatica che si sforzano di migliorare il profilo di cybersecurity dell’organizzazione possono unirsi alla piattaforma di SOC Prime e raggiungere uno stack completo di rilevamento per il ransomware BlackByte. Clicca il Visualizza rilevamenti pulsante per accedere al kit di regole dedicato. Gli ingegneri del contenuto di rilevamento delle minacce progressisti e i ricercatori di cybersecurity che cercano modi per trasformare il proprio set di competenze individuali in una collaborazione industriale sono invitati a unirsi ai ranghi del SOC Prime Threat Bounty Program, che consente di monetizzare il contributo di contenuti.

Visualizza rilevamenti Unisciti a Threat Bounty

Analisi del Ransomware BlackByte: Varianti basate su Go

Il ransomware BlackByte funziona su un modello Ransomware-as-a-Service (RaaS) che ha preso di mira le organizzazioni globali da luglio 2021. Inizialmente coinvolti in attacchi su piccola scala, gli operatori del ransomware si sono ritrovati sotto i riflettori nel novembre 2021, dopo aver compromesso numerose aziende statunitensi e internazionali, comprese infrastrutture critiche nei settori governativo, finanziario, alimentare e agricolo.

The l’attacco ransomware BlackByte più recente ha preso di mira l’azienda di logistica svizzera M+R Spedag Group e ha portato al furto di oltre 8GB di dati dell’azienda, sotto la minaccia di pubblicare le risorse trapelate nel dark web.

In una serie di attacchi precedenti, è stato osservato che il gruppo di hacker sfrutta la crittografia dei file sui sistemi host Windows delle vittime e sfrutta una vulnerabilità del Microsoft Exchange Server per ottenere accesso alle reti compromesse. In risposta a una scala di attacchi dinamicamente crescente che sfruttano il ransomware BlackByte, Il Federal Bureau of Investigation (FBI) e il U.S. Secret Service (USSS) hanno emesso un consiglio congiunto sulla sicurezza informatica che offre indicatori di compromesso associati all’attività dannosa e raccomanda misure di mitigazione del ransomware BlackByte.

Zscaler ThreatLabz ha recentemente identificato due nuove versioni di BlackByte programmate nel linguaggio Go. La prima variante del ransomware sembra avere molte caratteristiche comuni con i campioni originari in C#, sfruttando gli stessi comandi per spostarsi lateralmente ed elevare i privilegi insieme a simili algoritmi di crittografia dei file, mentre la seconda versione del ransomware basata su Go, rilevata in attacchi informatici più recenti, introduce un insieme di aggiornamenti significativi e una crittografia dei file più sofisticata, incluso la Curve25519 Elliptic Curve Cryptography (ECC) e ChaCha20 per la crittografia asimmetrica e simmetrica di conseguenza. Inoltre, la versione più avanzata di BlackByte basata su Go viene fornita con una nota di riscatto avanzata e capacità di archiviazione file icona arricchite con crittografia XOR.

L’attacco informatico inizia con l’accesso a un link nel portale di riscatto e una ulteriore autenticazione utilizzando una chiave di accesso dalla nota di riscatto lasciata sulla macchina bersaglio. Una volta autenticati, gli utenti compromessi devono pagare un riscatto sotto il rischio della divulgazione dei loro dati.

Inoltre, gli attori della minaccia applicano il print bombing inviando un messaggio di riscatto che è programmato per essere stampato ogni ora sui dispositivi collegati.

Per rimanere aggiornati sulle minacce emergenti e rafforzare il potenziale di difesa informatica della tua organizzazione, unisciti a SOC Prime’s Detection as Code platform e ottieni valore immediato dal contenuto di rilevamento in tempo reale accompagnato da funzionalità automatizzate di threat hunting e gestione dei contenuti.