Detectando Ataques do Ransomware BlackByte
Índice:
Outro dia, — outro grande desafio para os profissionais de segurança. Conheça o BlackByte, um novo grupo de ransomware como serviço (RaaS) que está trilhando o caminho até o topo da lista de ameaças. Os primeiros incidentes atribuídos ao coletivo BlackByte foram detectados em julho de 2021, e desde então os adversários evoluíram significativamente suas táticas e ferramentas. Atualmente, pesquisadores de segurança observam o BlackByte aproveitando as notórias vulnerabilidades do ProxyShell para invadir redes corporativas e criptografar os ativos críticos.
O que é o ransomware BlackByte?
Inicialmente, o BlackByte apareceu em meados do verão de 2021, realizando ataques de baixa intensidade contra usuários ocasionais. O interesse aumentado nessa nova variante atingiu o pico em outubro de 2021, após os operadores do ransomware comprometerem a cooperativa de grãos de Iowa. Desde então, pesquisadores de segurança rastrearam vários ataques contra as indústrias de manufatura, mineração, alimentos e bebidas, saúde e construção nos EUA, Europa e Austrália.
Acredita-se que o grupo de ransomware BlackByte seja de origem russa, já que os adversários evitam atacar empresas sediadas na Rússia ou em países da Comunidade dos Estados Independentes (CIS). Além disso, uma das funções de criptografia de arquivos do BlackByte é chamada de “Pognali”, que é traduzido como “vamos lá” do russo.
De acordo com a pesquisa da Trustwave, as amostras iniciais do BlackByte não eram muito complexas. O ransomware usava a mesma chave para criptografar arquivos em AES, em vez de usar chaves únicas para cada sessão de criptografia. Além disso, como a criptografia simétrica AES foi usada pelos hackers, a mesma chave era adequada para os processos de criptografia e decriptação. Caso não houvesse a opção de baixar a chave do servidor dos atacantes, a rotina do ransomware simplesmente falhava.
Com uma abordagem tão simplista, os pesquisadores de segurança da Trustwave lançaram um decodificador para o ransomware BlackByte em outubro de 2021. No entanto, os operadores de malware atualizaram suas táticas desde então, não deixando opção para as vítimas descriptografarem seus arquivos gratuitamente. Além disso, de acordo com as últimas observações, os ataques do ransomware BlackMatter estão se tornando mais sofisticados, com esforços notáveis implementados para evadir detecção, análise e decriptação.
Vulnerabilidades do ProxyShell aproveitadas para implantar o BlackByte
Esta semana, especialistas da Red Canary compartilharam um relatório revelando que os operadores do BlackByte estão usando ativamente os exploits do ProxyShell para violar redes-alvo.
ProxyShell é um título único para um trio de falhas separadas (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) que, se encadeadas, permitem que hackers alcancem o nível de acesso de administrador e executem código remoto em servidores Microsoft Exchange vulneráveis.
De acordo com a Red Canary, os mantenedores do BlackByte usam falhas do ProxyShell para inserir shells da web em servidores Exchange expostos. Caso sejam instalados com sucesso, os agentes de ameaça ganham persistência nas instâncias-alvo e injetam beacons do Cobalt Strike no processo do Agente de Atualização do Windows. Dessa forma, os atacantes conseguem descarregar credenciais e obter acesso às contas. Além disso, os hackers inserem a ferramenta AnyDesk para acesso remoto e procedem com movimento lateral através da rede.
Durante a próxima etapa, o executável do BlackByte entra em ação, desempenhando suas capacidades de worm para infectar todos os ativos disponíveis. Antes de iniciar o processo de criptografia, o malware exclui a tarefa agendada “Raccine Rules Updater” e apaga cópias de sombra através de objetos WMI. Finalmente, o BlackByte extrai dados sensíveis com o WinRAR para usá-los em dupla extorsão.
Detecção do ransomware BlackByte
Para ajudar os profissionais de segurança a detectarem infecções por BlackByte e resistirem com sucesso aos ataques, o repositório Threat Detection Marketplace da plataforma SOC Prime oferece um lote de conteúdo de detecção selecionado:
Ransomware BlackByte instala o pacote de Ferramentas de Administração de Servidor Remoto
Ransomware BlackByte utilizando exclusão de tarefa agendada do Raccine
Ransomware BlackByte usando Vssadmin para Redimensionar Shadowstorage
Exploitação do ProxyShell leva a ransomware BlackByte via Process_Creation
Ransomware BlackByte consulta o Active Directory para Nomes de Computadores
A lista completa de regras Sigma para detecção de ransomware BlackByte está disponível via este link.
Além disso, você pode verificar the Diretrizes da Indústria: Defendendo Contra Ataques de Ransomware em 2021fornecidas por , CISO na SOC Prime. , CISO na SOC Prime.Essas diretrizes cobrem as melhores práticas para defesa contra ransomware e oferecem as últimas detecções contra ataques de ransomware para ajudar os principais MSPs e organizações em vários setores a resistir proativamente a intrusões específicas da indústria. Além disso, para garantir que seus sistemas estejam protegidos contra possíveis intrusões do BlackByte, verifique se você implementou os patches para as vulnerabilidades do ProxyShell. Para detectar possível atividade maliciosa associada a essas falhas, baixe um conjunto das regras Sigma disponíveis
Also, to ensure that your systems are protected against possible BlackByte intrusions, check if you implemented the patches for ProxyShell vulnerabilities. To detect possible malicious activity associated with these flaws, download a set of the Sigma rules available através do link a seguir.
Explore a primeira plataforma do mundo para defesa cibernética colaborativa, caça e descoberta de ameaças para aumentar as capacidades de detecção de ameaças e defender-se contra ataques mais facilmente, rapidamente e de forma mais eficiente. Pronto para criar suas próprias regras Sigma e YARA para tornar o mundo um lugar mais seguro? Junte-se ao nosso Programa de Recompensa por Ameaças para obter recompensas recorrentes por sua valiosa contribuição!