BlackByteランサムウェア検出：改良されたファイル暗号化を備えた新しいGoベースの亜種が引き続き組織を侵害し、身代金を要求

BlackByte ランサムウェア 2021年夏中頃から米国や世界中の重要なインフラを標的にしてきたが、最近より高度なバリアントに変貌した。攻撃者はランサムウェアを展開する前にデータを外部に持ち出し、身代金を支払わない場合に盗まれたデータを漏洩させると脅すことで知られています。

ランサムウェアサンプルは元々C#で書かれ、その後Goプログラミング言語で再開発され、攻撃者が対抗ツールキットを進化させ、ファイル復旧をブロックするより高度で安全なファイル暗号化アルゴリズムを適用できます。最近のBlackByteランサムウェア攻撃で使用されたランサムウェアコードは、セキュリティソリューションを回避し、マルウェア分析から逃れるために常に最適化されています。これには、文字列難読化ツールが含まれます。

BlackByte ランサムウェアを検出する

新しいBlackByteランサムウェアサンプルに対して組織を積極的に防御するために、SOC Primeは当社の精力的な脅威バウンティデベロッパーによって書かれた独自の文脈豊かなSigmaルールセットをリリースしました。 Nattatorn Chuensangarun and Kaan Yeniyol:

印刷爆弾のスケジュールされたタスクを作成することによる、BlackByteランサムウェアの実行可能性（process_creation経由）

PowerShellスクリプトブロックを使用して制御されたフォルダアクセスを無効にするBlackByteランサムウェアの実行可能性

システム時間フォーマットの修正によるBlackByteランサムウェアの怪しい防御回避（cmdline経由）

脅威行為者がBlackByteランサムウェアを継続的に改善しているので、依然として複数の業界で活動している組織に深刻な脅威をもたらしています。脅威ハンター、検出エンジニア、その他の情報セキュリティ専門家が組織のサイバーセキュリティ態勢を改善しようと努力している場合、SOC Primeのプラットフォームに参加し、BlackByteランサムウェアの包括的な検出スタックにアクセスすることができます。「 検出を見る 」ボタンをクリックして、専用ルールキットにアクセスしてください。個々のサイバーセキュリティスキルを業界の協力に変える方法を探している進歩的な脅威検出コンテンツエンジニアやサイバーセキュリティ研究者は、SOC Prime Threat Bounty Programに参加することをお勧めします。これは、コンテンツ貢献を貨幣化することを可能にします。

検出を見る 脅威バウンティに参加する

BlackByte ランサムウェア分析: Goベースのバリアント

BlackByteランサムウェアは Ransomware-as-a-Service (RaaS) モデルで2021年7月から世界の組織を標的にしています。 小規模攻撃から始まり、2021年11月に米国および世界の企業、政府、金融、食品、農業部門の重要インフラを含むいくつかの企業を侵害したことで注目されるようになりました。

The 最も最近のBlackByteランサムウェア攻撃 では、スイスのM+R Spedag Group物流会社を標的にし、ダークウェブ上に漏れた資産を公開するという脅威の下で、会社のデータ8GB以上を盗まれました。

以前の一連の攻撃では、ハッキンググループは被害者のWindowsホストシステムでファイル暗号化を利用し、 Microsoft Exchange Serverの欠陥 を武器化して、妥協されたネットワークにアクセスしました。ブラックバイトランサムウェアを活用した攻撃規模の急速な増加に対応して、連邦捜査局（FBI）と米国秘密警察（USSS）は、関連する悪意のある活動に伴う妥協のインジケータを提供し、BlackByteランサムウェア緩和対策を推奨する 共同サイバーセキュリティ勧告 を発行しました。

Zscaler ThreatLabz は最近、新しいBlackByteバージョン2本をGo言語でプログラムされたものを特定しました。最初のランサムウェアバリアントは、オリジナルのC#サンプルと多くの共通機能を持ち、横に移動して権限をエスカレートする同じコマンドを活用し、類似したファイル暗号化アルゴリズムを備えています。一方、最近のサイバー攻撃で発見されたGoベースのランサムウェアの第2のバージョンには、重要なアップデートとより洗練されたファイル暗号化が導入され、Curve25519楕円曲線暗号（ECC）および対称および非対称暗号化用のChaCha20が含まれています。さらに、より高度なGoベースのBlackByteバージョンは、XOR暗号化で拡充されたランサムノートとアイコンファイルストレージ機能を備えています。

サイバー攻撃は、ターゲットマシンにドロップされたランサムノートからのアクセスキーを使用して認証し、ランサムポータルのリンクにアクセスすることから始まります。一度認証されると、侵害されたユーザーはデータ漏洩のリスクの元で身代金を支払わなければならないと要求されます。

また、攻撃者は印刷爆弾を適用し、接続されたデバイスに毎時印刷されるようにスケジュールされたランサムメッセージを送信します。

新たな脅威に遅れずについていき、組織のサイバー防御力を強化するために、 SOC PrimeのDetection as Codeプラットフォーム に参加し、自動化された脅威狩りとコンテンツ管理機能を備えたほぼリアルタイムの検出コンテンツ配信から即座の価値を引き出してください。