Samstag, Dezember 3, 2022

Könntest du nicht? BlackByte Ransomware Slinger dreht das Messer mit dem Datendieb

Mindestens ein Tochterunternehmen der hochkarätigen Ransomware-as-a-Service (RaaS)-Gruppe BlackByte verwendet ein benutzerdefiniertes Tool, um Dateien aus dem Netzwerk eines Opfers zu exfiltrieren, ein wichtiger Schritt im schnell wachsenden Geschäft mit doppelter Erpressung.

Das Exfiltrationstool namens Exbyte ist in Go für Windows-Computer geschrieben und wurde entwickelt, um Dateien in den Cloud-Speicherdienst Mega hochzuladen, so die Forscher des Threat Hunter Teams von Symantec in diesem Monat.

Exbyte ermöglicht es dem Partner, sich schnell die sensiblen internen Dokumente eines Opfers zu schnappen und sie vor der Sicht zu verbergen, ein weiterer Hinweis auf den wachsenden Status von BlackByte in der immer dynamischen Welt der Ransomware. Das Netzwerk eines Opfers wird kompromittiert und Eindringlinge stehlen Daten mit Exbyte und sperren dann das Netzwerk mit BlackByte.

„Nach dem Abgang einer Reihe großer Ransomware-Operationen wie Conti und Sodinokibi [also known as REvil]BlackByte hat sich zu einem der Ransomware-Spieler entwickelt, der von dieser Marktlücke profitiert“, schrieb das Symantec-Team in einem Bericht Weg, eine der dominierenden Ransomware-Bedrohungen zu werden.“

BlackByte entstand im Juli 2021 und wurde schnell zu einer bedeutenden Gruppe im RaaS-Bereich. Die Cybersecurity and Infrastructure Security Agency (CISA) und das FBI der US-Regierung gaben im Februar eine Empfehlung heraus [PDF]unter Hinweis darauf, dass die Ransomware mehrfach verwendet wurde, um US-amerikanische und ausländische Unternehmen anzugreifen, darunter mindestens drei Organisationen in kritischen Infrastruktursektoren (Regierung, Finanzen sowie Ernährung und Landwirtschaft) in den USA.

Die BlackByte-Gruppe steckte auch hinter einem Angriff auf die Fußballmannschaft San Francisco 49ers im Februar.

Symantec sagt, dass der BlackByte RaaS-Vorgang von einem Team namens Hecamede betrieben wird und dass Ransomware in den letzten Monaten zu den am häufigsten bei Angriffen verwendeten gehört hat. Trend Micro stellte in einem Bericht fest, dass BlackByte-Betreiber Affiliates nicht nur erlauben, ihre Malware direkt zu verwenden, sondern sie auch in ihre eigenen Angriffe implementieren können.

Als RaaS werden BlackByte und seine Back-End-Infrastruktur im Wesentlichen an Kriminelle zur Nutzung vermietet, wobei Windows-Malware-Betreiber einen Anteil an unrechtmäßig erlangten Gewinnen aus der Verwendung seines Codes erhalten.

Wie eine wachsende Zahl anderer Ransomware-Gangs sind auch BlackByte und seine Tochtergesellschaften an Datenerpressungsschlägern beteiligt, stehlen Daten und drohen damit, sie öffentlich offenzulegen oder sogar zu löschen, wenn die Opfer die erforderliche Zahlung nicht leisten.

Exbyte ist nicht nur ein benutzerdefiniertes Daten-Exfiltrationstool. Symantec-Forscher wiesen auf den Dateidiebstahl Exmatter hin, der im November 2021 entdeckt und von der BlackMatter-Ransomware-Gang und später bei den Noberus-Ransomware-Angriffen verwendet wurde. Es gibt auch Ryuk Stealer und StealBit, von denen sie behaupten, dass sie mit LockBit verwandt sind.

Einige Gruppen, wie Karakurt, überspringen die Verschlüsselungsphase ganz und gehen direkt zur Datenexfiltration und -erpressung über. Der Trend zur reinen Erpressung nimmt zu, da Bedrohungsgruppen die komplizierte Programmierung und Verschlüsselung vermeiden, die zum Verschlüsseln und Entschlüsseln der Dateien eines Opfers erforderlich sind, indem sie Schlüssel verwenden, die auf Remote-Back-End-Servern gespeichert sind, und sich für eine einfache Datenerfassung entscheiden.

Nach der Ausführung führt Exbyte eine Reihe von Überprüfungen durch, um sicherzustellen, dass es sich nicht in einer Sandbox-Umgebung befindet, um Sicherheitsteams die Analyse der Malware zu erschweren. Es überprüft auch die laufenden Prozesse von acht Anwendungen und Dateien im Zusammenhang mit Antivirus oder Sandbox.

Diese Überprüfungen ähneln denen, die von der BlackByte-Ransomware-Payload selbst durchgeführt werden, wie Sophos-Forscher in einem Bericht Anfang dieses Jahres herausstellten.

Das Tool erfasst dann die Dokumentdateien auf dem kompromittierten System und exfiltriert die Dateien, indem es sie in einen Ordner hochlädt, der von der Malware auf Mega erstellt wurde, wobei die Anmeldeinformationen für das Mega-Konto in Exbytes codiert sind. Siehe Symantecs Bericht für technische Details zur Erkennung.

An den jüngsten BlackByte-Infektionen haben Angreifer ProxyShell- und ProxyLogon-Schwachstellen in Microsoft Exchange-Servern ausgenutzt und Tools wie AdFind, AnyDesk, NetScan und PowerView verwendet, um sich vor oder während der Verteilung der dateiverschlüsselnden Ransomware-Nutzdaten über ein Netzwerk zu bewegen. Sie verbreiten auch die BlackByte-Ransomware Version 2.0 in neueren Angriffen. ®

Related Articles

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Latest Articles