BlackByte 랜섬웨어 탐지: 향상된 파일 암호화 기능을 가진 새로운 Go 기반 변종이 조직을 계속 침해하고 몸값을 요구하다

BlackByte 랜섬웨어 미국 및 전 세계의 중요한 인프라를 공격하고 있는 BlackByte 랜섬웨어가 2021년 여름 중반 이후 최근 더 발전된 변종으로 변화했습니다. 적대자는 랜섬웨어 배포 전에 데이터를 빼돌린 후, 대가를 지불하지 않으면 도난당한 데이터를 공개하겠다고 위협하는 것으로 알려져 있습니다.

랜섬웨어 샘플은 원래 C#으로 작성되었으며 나중에 Go 프로그래밍 언어로 재개발되어 공격자가 적대자 도구 세트를 발전시키고 파일 복구를 차단하는 보다 진보되고 안전한 파일 암호화 알고리즘을 적용할 수 있게 했습니다. 최신 BlackByte 랜섬웨어 공격에 사용된 랜섬웨어 코드는 보안 솔루션을 우회하고 악성코드 분석을 피할 수 있도록 문자열 난독화 도구를 포함하여 지속적으로 최적화됩니다.

BlackByte 랜섬웨어 탐지

새로운 BlackByte 랜섬웨어 샘플에 대해 조직을 선제적으로 방어하기 위해, SOC Prime은 우리의 유능한 위협 Bounty 개발자가 작성한 고유의 컨텍스트가 풍부한 Sigma 규칙 세트를 출시했습니다. Nattatorn Chuensangarun and Kaan Yeniyol:

인쇄 폭탄을 위한 예약된 작업 생성으로 인한 BlackByte 랜섬웨어 실행 가능성 (프로세스_생성 경유)

PowerShell 스크립트 블록 사용으로 제어된 폴더 접근을 비활성화 하는 BlackByte 랜섬웨어의 가능성

시스템 시간 형식 수정으로 인한 BlackByte 랜섬웨어 방어 회피의 의심 (cmdline 경유)

위협 행위자가 계속해서 BlackByte 랜섬웨어를 개선하고 있음에도 불구하고, 이는 여전히 전 세계 여러 산업의 조직에 심각한 위협을 가하고 있습니다. 조직의 사이버 보안 태세를 개선하기 위해 노력하는 위협 헌터, 탐지 엔지니어, 기타 정보 보안 전문가들은 SOC Prime의 플랫폼에 합류하여 BlackByte 랜섬웨어에 대한 포괄적인 탐지 스택을 확보할 수 있습니다. 탐지를 보려면 버튼을 클릭하여 전용 규칙 키트에 액세스하세요. 개인 cyber 보안 기술을 업계 협업으로 전환할 방법을 찾고 있는 진보적인 위협 탐지 콘텐츠 엔지니어와 사이버 보안 연구자들이 SOC Prime의 위협 Bounty 프로그램에 참여하여 콘텐츠 기여를 수익화할 수 있습니다.

탐지를 보려면 위협 Bounty 참여

BlackByte 랜섬웨어 분석: Go 기반 변종

BlackByte 랜섬웨어는 서비스형 랜섬웨어(RaaS) 모델로 2021년 7월 이후 전세계의 조직을 대상으로 하고 있습니다. 처음에는 소규모 공격에 관여하다가, 랜섬웨어 운영자들은 2021년 11월 근무 인프라, 금융, 식품 및 농업 부문을 포함하여 미국 및 전 세계 기업 여러 곳을 감염시킴으로써 공공의 관심을 받게 되었습니다.

The 가장 최근의 BlackByte 랜섬웨어 공격 은 스위스에 본사를 둔 M+R Spedag Group 물류 회사를 목표로 하여, 8GB 이상의 회사 데이터를 탈취하고 유출된 자산을 다크 웹에 게시하겠다는 위협을 가했습니다.

이전 공격 시리즈에서 해킹 그룹은 피해자들의 Windows 호스트 시스템에 파일 암호화를 적용하고 Microsoft Exchange Server 취약점 을 활용하여 손상된 네트워크에 접근하는 것이 관찰되었습니다. BlackByte 랜섬웨어를 활용한 공격이 급속도로 증가함에 따라, 미국 연방수사국(FBI)과 미 국토안보부 (USSS)는 나쁜 활동과 관련된 침입 지표와 BlackByte 랜섬웨어 완화 조치를 권장하는 공동 사이버 보안 권고 를 발행했습니다.

Zscaler ThreatLabz 는 최근 Go 언어로 프로그래밍된 두 개의 새로운 BlackByte 버전을 확인했습니다. 첫 번째 랜섬웨어 변종은 초기 C# 샘플과 여러 가지 공통점을 가지며, 동일한 명령을 사용하여 횡단 움직임 및 권한 상승을 수행하고 유사한 파일 암호화 알고리즘을 사용합니다. 반면, 더 최근 사이버 공격에서 발견된 두 번째 Go 기반 랜섬웨어 버전은 획기적인 업데이트와 Curve25519 타원 곡선 암호화(ECC) 및 ChaCha20에 대한 대칭 및 비대칭 암호화를 포함한 더욱 정교한 파일 암호화 기능을 도입합니다. 또한, 더 발전된 Go 기반 BlackByte 버전은 강화된 랜섬 노트와 XOR 암호화로 풍부해진 아이콘 파일 저장 기능을 제공합니다.

사이버 공격은 랜섬 포털의 링크에 접근하고, 타겟 머신에 드롭된 랜섬 노트로부터의 액세스 키를 통해 추가 인증함으로써 시작됩니다. 인증이 성공하면, 피해자는 데이터 유출의 위험 아래 대가를 지불해야 합니다.

또한, 위협 행위자는 연결된 장치들에 매 시간마다 인쇄되도록 예약된 랜섬 메시지를 전송함으로써 인쇄 폭탄을 적용합니다.

새로운 위협을 파악하고 조직의 사이버 방어 능력을 강화하려면 SOC Prime의 Detection as Code 플랫폼 에 참여하여, 실시간 탐지 콘텐츠 전달과 자동화된 위협 사냥 및 콘텐츠 관리 기능에서 즉각적인 가치를 창출하세요.