BlackByte ransomware: el heredero de Conti y Sodinokibi

El Equipo de Cazadores de Amenazas de Symantec anunció el viernes que un afiliado de la organización de ransomware como servicio BlackByte está utilizando la herramienta de exfiltración de datos personalizada Infostealer.Exbyte para robar datos.

BlackByte es dirigido por un grupo de ciberdelincuentes al que Symantec llamó Hecamede. BlackByte pasó desapercibido hasta febrero de 2022, cuando el FBI emitió una alerta indicando que el grupo había atacado a varias entidades en los Estados Unidos, incluidos al menos tres proveedores de infraestructura crítica. Symantec se refiere tanto al grupo BlackByte como al ransomware BlackByte con el mismo nombre.

Tras la salida de importantes operaciones de ransomware como Conti y Sodinokibi, BlackByte ha surgido como uno de los actores de ransomware que se benefician de esta brecha en el mercado. El hecho de que los actores estén creando herramientas personalizadas para utilizar en ataques de ransomware de BlackByte sugiere que puede convertirse en una de las amenazas de ransomware dominantes. En los últimos meses, BlackByte se ha convertido en una de las cargas útiles más utilizadas en los ataques de ransomware.

"No es necesariamente peor que todos los demás ransomware, pero ciertamente es una de las cargas útiles de ransomware más utilizadas en este momento, junto con Quantum, Hive, Noberus y AvosLocker", dijo Dick O'Brien, analista principal de inteligencia del Equipo de Cazadores de Amenazas de Symantec.

¿Qué es la herramienta de ransomware Exbyte?

La herramienta de exfiltración de datos Exbyte está escrita en el lenguaje de programación Go y carga los archivos robados en el servicio de almacenamiento en la nube Mega.co.nz. Cuando Exbyte se ejecuta, verifica si se está ejecutando en un entorno controlado; si detecta un entorno controlado, se detendrá para evitar ser detectado, según O'Brien.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Esta rutina de verificaciones es bastante similar a la rutina utilizada por la propia carga útil de BlackByte, como documentó recientemente Sophos.

A continuación, Exbyte enumera todos los archivos de documentos en el equipo infectado, como archivos .txt, .doc y .pdf, y guarda la ruta completa y el nombre del archivo en %APPDATA%\dummy. Los archivos enumerados se cargan en una carpeta que el malware crea en Mega.co.nz. Las credenciales de la cuenta de Mega utilizada están codificadas en el código de Exbyte.

Exbyte no es la primera herramienta de exfiltración de datos personalizada relacionada con una operación de ransomware. En noviembre de 2021, Symantec descubrió Exmatter, una herramienta de exfiltración utilizada por la operación de ransomware BlackMatter y que desde entonces se ha utilizado en ataques de Noberus. Otros ejemplos incluyen la herramienta Ryuk Stealer y StealBit, que está vinculada al ransomware LockBit.

¿Cuáles son las tácticas, técnicas y procedimientos de BlackByte?

En los ataques recientes de BlackByte investigados por Symantec, los atacantes aprovecharon las vulnerabilidades ProxyShell (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) y ProxyLogon (CVE-2021-26855 y CVE-2021-27065) en los servidores de Microsoft Exchange para obtener acceso inicial.

Symantec también observó que los atacantes utilizaban herramientas de reconocimiento y consulta públicamente disponibles como AdFind, AnyDesk, NetScan y PowerView antes de implementar la carga útil de ransomware.

"Identificar y enumerar estas herramientas es importante porque su uso representa una señal de advertencia en la etapa inicial de preparación de un ataque de ransomware", dijo O'Brien.

Cómo proteger tu computadora de los virus: métodos y consejos

Los ataques recientes han utilizado la versión 2.0 de la carga útil de BlackByte. Al ejecutarse, la carga útil del ransomware parece descargar y guardar los símbolos de depuración de Microsoft. El comando se ejecuta directamente desde el ransomware.

Luego, el ransomware verifica la información de versión de ntoskrnl.exe.BlackByte y procede a eliminar las rutinas de notificación del kernel, con el objetivo de evadir la detección y eliminación de malware. Esta funcionalidad se asemeja mucho a las técnicas utilizadas en la herramienta EDRSandblast.

"Es difícil determinar qué tan exitosa es la eliminación de las rutinas de notificación del kernel, ya que es una técnica conocida y los proveedores serán conscientes de ella y probablemente hayan introducido mitigaciones", dijo O'Brien. "Pero probablemente sea justo decir que no es inútil porque, de lo contrario, no lo estarían utilizando".

BlackByte utiliza VssAdmin para eliminar las copias de sombra de volumen y redimensionar la asignación de almacenamiento. Luego, el ransomware modifica la configuración del firewall para habilitar conexiones vinculadas. Por último, BlackByte se inyecta a sí mismo en una instancia de svchost.exe, realiza la encriptación de archivos y luego borra el binario del ransomware del disco.

¿Cómo proteger a su organización de BlackByte o mitigar sus efectos?

BlackByte es difícil de detener, pero no es imposible, dijo O'Brien.

"Cada paso del ataque es una oportunidad para identificarlo y bloquearlo", dijo. "Una estrategia de defensa en profundidad siempre es la que mejor funciona, donde se emplean múltiples tecnologías de detección y no se tiene un único punto de fallo. Necesita no solo tener la capacidad de identificar archivos maliciosos, sino también identificar comportamientos maliciosos, ya que muchos atacantes utilizarán información legítima".

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Para obtener las últimas actualizaciones de protección, consulte el boletín de protección de Symantec.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a BlackByte ransomware: el heredero de Conti y Sodinokibi , tenemos lo ultimo en tecnología 2023.