Las amenazas de ransomware han ido en aumento con la actualización de varias tecnologías. Muchos grupos de hackers han estado proporcionando servicios de ransomware basados en RaaS a los ciberdelincuentes. La oficina federal de investigaciones (FBI) y el Servicio Secreto de EE. UU. (USSS) publicaron que, a partir de noviembre de 2021, BlackByte Ransomware ha comprometido a varias entidades en los sectores de infraestructura crítica de EE. UU., incluidas las instalaciones gubernamentales, financieras, alimentarias y agrícolas. BlackByte es un grupo de ransomware basado en RaaS (Ransomware as a Service) que tiene como objetivo el cifrado de archivos en sistemas host de Windows y servidores virtuales comprometidos.
Ransomware BlackByte
BlackByte ransomware deja una nota de rescate que contiene un sitio .onion en todos los directorios cifrados. Este sitio .onion proporciona las instrucciones para pagar el rescate por la clave de descifrado.
Ciertas víctimas informaron que una vulnerabilidad de Microsoft Exchange Server para obtener acceso dentro de la red. Después de infiltrarse, implementan varias herramientas para moverse dentro de la red y escalar privilegios para cifrar archivos.
A diferencia de las versiones anteriores de BlackByte, esta nueva versión no se comunica con ninguna dirección IP para cifrar los archivos. Los directorios de archivos locales C:WindowsSystem32 y C:Windows se utilizan para crear procesos dentro de la máquina víctima.
IOC para BlackByte
El FBI ha publicado cierta lista de archivos sospechosos asociados con el Ransomware BlackByte.
- WindowsMicrosoft.NETFramework64v4.0.30319Temporary ASP.NET Filesroote22c255992c7e946
- inetpubwwwrootaspnet_client
- Program FilesMicrosoftExchange ServerV15FrontEndHttpProxyowaauth
- Program FilesMicrosoftExchange ServerV15FrontEndHttpProxyowaauthCurrent
- Program FilesMicrosoftExchange ServerV15FrontEndHttpProxyowaauthCurrentthemes
- Program FilesMicrosoftExchange ServerV15FrontEndHttpProxyowaauthCurrentscripts
- Program FilesMicrosoftExchange ServerV15FrontEndHttpProxyowaauthCurrentscriptspremium
Se encontraron archivos adicionales en
%AppData%BB.ico |
Este archivo es el ícono dado a los archivos con una extensión de archivo .blackbyte. |
%AppData%BlackByteRestore.txt |
Este archivo es la nota de rescate que queda en cada carpeta donde se cifran los archivos. |
%HOMEPATH%complex.exe |
Este archivo es el ejecutable del ransomware. |
%AppData%dummy |
Este archivo es un archivo de texto que contiene una lista de nombres de máquinas a las que se puede acceder en la red. |
Userstree.dll |
Este archivo contiene el mensaje “Your HACKED by BlackByte team. Connect us to restore your system.” (SIC) |
También hubo tareas programadas en Windows/System32/Tasks
C:Users<username>complex.exe -single <SHA256>. |
Este comando parece iniciar el ransomware. |
C:WindowsSystem32cmd.exe /c for /l %x in (1,1,75) do start wordpad.exe /p C:Userstree.dll. |
Este comando intenta abrir tree.dll en wordpad 75 veces y luego imprime el contenido. |
¿Cómo mitigar?
- Copia de seguridad regular de todos los datos y tener copias protegidas con contraseña fuera de línea
- Implementación de controles de seguridad en el acceso a máquinas dentro de una red
- Habilitación de detecciones de antivirus en tiempo real y actualizaciones periódicas de antivirus
- Actualización de parches regulares de SO y software
- Analizar nuevas cuentas no reconocidas y revisarlas
- Auditoría de rutina en todas las cuentas
- Deshabilitar puertos RDP no utilizados y monitorear actividad inusual
El FBI también ha publicado varios informes de investigación para BlackByte Ransomware que también incluye hashes de archivos.