Detecção de Ransomware BlackByte: Novas Variantes Baseadas em Go com Criptografia de Arquivos Aprimorada Continuam Invadindo Organizações e Exigindo Resgate
Índice:
BlackByte ransomware visando infraestruturas críticas nos EUA e em todo o mundo desde meados de 2021, recentemente se transformou em uma variante mais avançada. Os adversários são conhecidos por exfiltrar dados antes de implantar ransomware e, em seguida, ameaçam as organizações de vazar os dados roubados se um resgate não for pago.
As amostras de ransomware foram originalmente escritas em C# e posteriormente foram desenvolvidas na linguagem de programação Go, permitindo que os atacantes evoluíssem o conjunto de ferramentas do adversário e aplicassem algoritmos de criptografia de arquivos mais avançados e seguros que bloqueiam a recuperação de arquivos. O código de ransomware usado nos últimos ataques do BlackByte é constantemente otimizado para contornar soluções de segurança e evadir a análise de malware, incluindo ferramentas de ofuscação de strings.
Detectar BlackByte Ransomware
Para defender proativamente as organizações contra novas amostras de ransomware BlackByte, a SOC Prime lançou um conjunto de regras Sigma exclusivas e enriquecidas com contexto, escritas por nossos prolíficos desenvolvedores de Threat Bounty, Nattatorn Chuensangarun and Kaan Yeniyol:
Com os atores de ameaça melhorando continuamente o ransomware BlackByte, ele ainda representa uma séria ameaça para organizações que operam em várias indústrias em todo o mundo. Caçadores de ameaças, engenheiros de detecção e outros profissionais de InfoSec que buscam melhorar a postura de segurança cibernética da organização podem se unir à plataforma SOC Prime e acessar um stack de detecção abrangente para o ransomware BlackByte. Clique no Visualizar Detecções botão para obter acesso ao kit de regras dedicado. Engenheiros de conteúdo de detecção de ameaças progressivas e pesquisadores de segurança cibernética que procuram maneiras de transformar seu conjunto de habilidades individuais de segurança cibernética em colaboração na indústria são convidados a se juntar ao Programa Threat Bounty da SOC Prime, que permite monetizar a contribuição de conteúdo.
Visualizar Detecções Junte-se ao Threat Bounty
Análise do Ransomware BlackByte: Variantes Baseadas em Go
O ransomware BlackByte opera em um modelo Ransomware como Serviço (RaaS) visando organizações globais desde julho de 2021. Inicialmente envolvido em ataques em pequena escala, os operadores de ransomware encontraram-se em destaque em novembro de 2021, após comprometerem várias empresas nos EUA e no mundo, incluindo infraestruturas críticas nos setores governamental, financeiro, alimentar e agrícola.
The o mais recente ataque do ransomware BlackByte teve como alvo a empresa de logística suíça M+R Spedag Group e resultou no roubo de mais de 8GB de dados da empresa sob a ameaça de publicar os ativos vazados na dark web.
Em uma série de ataques anteriores, o grupo de hackers foi observado explorando criptografia de arquivos nos sistemas Windows das vítimas e armando uma falha do Microsoft Exchange Server para obter acesso a redes comprometidas. Em resposta à escala crescente dinâmica de ataques usando o ransomware BlackByte, o Federal Bureau of Investigation (FBI) e o U.S. Secret Service (USSS) emitiram um aviso conjunto de segurança cibernética oferecendo indicadores de comprometimento associados à atividade maliciosa e recomendando medidas de mitigação do ransomware BlackByte.
Zscaler ThreatLabz recentemente identificou duas novas versões do BlackByte programadas na linguagem Go. A primeira variante de ransomware parece ter múltiplas características comuns com as amostras originais em C#, utilizando os mesmos comandos para mover-se lateralmente e escalar privilégios junto com algoritmos de criptografia de arquivos similares, enquanto a segunda versão de ransomware baseada em Go detectada em ataques cibernéticos mais recentes introduz um conjunto de atualizações significativas e criptografia de arquivos mais sofisticada, incluindo Criptografia de Curva Elíptica Curve25519 (ECC) e ChaCha20 para criptografia assimétrica e simétrica, respectivamente. Além disso, a versão mais avançada do BlackByte baseada em Go vem com capacidades aprimoradas de armazenamento de ícones e notas de resgate enriquecidas com criptografia XOR.
O ataque cibernético começa com o acesso a um link no portal de resgate e autenticação adicional usando uma chave de acesso da nota de resgate deixada na máquina alvo. Uma vez autenticados, usuários comprometidos são obrigados a pagar um resgate sob o risco de vazamento de seus dados.
Além disso, os atores de ameaça aplicam bombardeamento de impressão, enviando uma mensagem de resgate que é programada para ser impressa a cada hora em dispositivos conectados.
Para se manter atualizado sobre ameaças emergentes e reforçar o potencial de defesa cibernética da sua organização, junte-se à plataforma Detection as Code da SOC Prime e aproveite o valor imediato da entrega de conteúdo de detecção em tempo quase real, acompanhado por capacidades automáticas de caça às ameaças e gerenciamento de conteúdo.
