Rilevare gli attacchi ransomware BlackByte

[post-views]
Dicembre 03, 2021 · 5 min di lettura
Rilevare gli attacchi ransomware BlackByte

Un altro giorno un’altra grande sfida per i professionisti della sicurezza. Incontra BlackByte, un nuovo gruppo di ransomware-as-a-service (RaaS) che sta rapidamente scalando le classifiche delle minacce. I primi incidenti attribuiti al collettivo BlackByte sono stati rilevati a luglio 2021 e da allora gli avversari hanno evoluto significativamente le loro tattiche e strumenti. Attualmente, i ricercatori di sicurezza osservano BlackByte sfruttare le note vulnerabilità ProxyShell per violare le reti aziendali e criptare i beni critici.

Cos’è BlackByte Ransomware?

Inizialmente, BlackByte è emerso a metà estate 2021, effettuando attacchi a bassa intensità contro utenti occasionali. L’interesse crescente per questa nuova variante ha raggiunto il picco nell’ottobre 2021 dopo che gli operatori del ransomware hanno compromesso la cooperativa di cereali dell’Iowa. Da allora, i ricercatori di sicurezza hanno tracciato numerosi attacchi contro i settori manifatturiero, minerario, alimentare e delle bevande, sanitario e delle costruzioni negli Stati Uniti, in Europa e in Australia.

Si ritiene che il gruppo di ransomware BlackByte sia di origine russa, poiché gli avversari evitano di colpire aziende con sede in Russia o nei paesi CIS. Inoltre, una delle funzioni di crittografia dei file per BlackByte si chiama “Pognali”, che in russo significa “andiamo”.

Secondo la ricerca di Trustwave, i primi campioni di BlackByte non erano molto complessi. Il ransomware utilizzava la stessa chiave per criptare i file in AES anziché utilizzare quelle uniche per ogni sessione di crittografia. Inoltre, poiché la crittografia simmetrica AES veniva utilizzata dagli hacker, la stessa chiave si adattava sia per i processi di crittografia che di decriptazione. Nel caso in cui non ci fosse l’opzione di scaricare la chiave dal server degli attaccanti, la routine del ransomware semplicemente si bloccava.

In vista di un approccio così semplice, i ricercatori di sicurezza di Trustware hanno rilasciato un decryptor per BlackByte ransomware nell’ottobre 2021. Tuttavia, gli operatori del malware hanno aggiornato le loro tattiche da allora, non lasciando alcuna opzione per le vittime di decriptare i loro file gratuitamente. Inoltre, secondo le ultime osservazioni, gli attacchi del ransomware BlackMatter stanno diventando più sofisticati, con sforzi evidenti implementati per eludere il rilevamento, l’analisi e la decriptazione.

Vulnerabilità ProxyShell Sfruttate per Distribuire BlackByte

Questa settimana, gli esperti di Red Canary hanno condiviso un dettagliato report che rivela che gli operatori di BlackByte stanno usando attivamente gli exploit ProxyShell per violare le reti bersaglio.

ProxyShell è un unico titolo per un trio di difetti separati (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) che, se concatenati, permettono agli hacker di raggiungere il livello di accesso amministrativo e eseguire l’esecuzione di codice remoto su server Microsoft Exchange vulnerabili.

Secondo Red Canary, i manutentori di BlackByte utilizzano i difetti ProxyShell per caricare web shell su server Exchange esposti. In caso di installazione riuscita, gli attori della minaccia ottengono persistenza sulle istanze bersaglio e inseriscono balise Cobalt Strike nel processo Windows Update Agent. In questo modo, gli attaccanti sono in grado di scaricare credenziali e ottenere accesso agli account. In seguito, gli hacker installano lo strumento AnyDesk per l’accesso remoto e procedono con il movimento laterale attraverso la rete.

Durante la fase successiva, l’eseguibile BlackByte entra in azione, eseguendo le sue capacità wormable per infettare tutti i beni disponibili. Prima di avviare il processo di crittografia, il malware elimina l’attività pianificata “Raccine Rules Updater” e cancella le copie shadow tramite oggetti WMI. Infine, BlackByte estrae dati sensibili con WinRAR per ulteriori utilizzi in estorsioni a doppio fine.

Rilevamento del Ransomware BlackByte

Per aiutare i professionisti della sicurezza a rilevare le infezioni di BlakcByte e resistere con successo agli attacchi, il repository Threat Detection Marketplace della piattaforma SOC Prime offre un batch di contenuto di rilevamento curato:

BlackByte Ransomware installa il pacchetto Remote Server Admin Tools

BlackByte Ransomware utilizza l’eliminazione dell’attività pianificata Raccine

BlackByte Ransomware utilizza Vssadmin per ridimensionare Shadowstorage

Sfruttamento di ProxyShell Porta a BlackByte Ransomware tramite Process_Creation

Tentativo di Installazione del Pacchetto Remote Server Admin Tools (via powershell)

BlackByte Ransomware interroga l’Active Directory per i Nomi dei Computer

L’elenco completo delle regole Sigma per il rilevamento del ransomware BlackByte è disponibile tramite questo link.

Inoltre, puoi controllare the Linee Guida del Settore: Difendersi dagli Attacchi Ransomware nel 2021fornite da , CISO presso SOC Prime. , CISO presso SOC Prime.Queste linee guida coprono le migliori pratiche per la difesa dai ransomware e offrono le ultime rilevazioni contro gli attacchi ransomware per aiutare i principali MSP e le organizzazioni in vari settori a resistere proattivamente alle intrusioni specifiche del settore. Inoltre, per garantire che i tuoi sistemi siano protetti contro possibili intrusioni di BlackByte, verifica se hai implementato le patch per le vulnerabilità ProxyShell. Per rilevare eventuali attività malevole associate a questi difetti, scarica un set delle regole Sigma disponibili

Also, to ensure that your systems are protected against possible BlackByte intrusions, check if you implemented the patches for ProxyShell vulnerabilities. To detect possible malicious activity associated with these flaws, download a set of the Sigma rules available tramite il seguente link

Esplora la prima piattaforma mondiale per la difesa cibernetica collaborativa, la caccia e la scoperta delle minacce per migliorare le capacità di rilevamento delle minacce e difendersi dagli attacchi in modo più semplice, più rapido e più efficiente. Desideroso di creare le tue regole Sigma e YARA per rendere il mondo un posto più sicuro? Unisciti al nostro Programma di Bounty sulle Minacce per ottenere premi ricorrenti per il tuo prezioso contributo!

Vai alla Piattaforma Unisciti al Threat Bounty

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Blog, Ultime Minacce — 4 min di lettura
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Veronika Telychko
Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Blog, Ultime Minacce — 5 min di lettura
Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Veronika Telychko