.
Pelo menos uma afiliada do grupo de alto perfil de ransomware como serviço (RaaS) BlackByte está usando uma ferramenta personalizada para exfiltrar arquivos da rede de uma vítima, um passo fundamental no negócio em rápido crescimento de dupla extorsão.
A ferramenta de exfiltração, apelidada de Exbyte, é escrita em Go para computadores Windows e foi projetada para enviar arquivos para o serviço de armazenamento em nuvem Mega, de acordo com pesquisadores da equipe de caçadores de ameaças da Symantec este mês.
O Exbyte permite que o afiliado pegue rapidamente os documentos internos confidenciais da vítima e os esconda fora de vista, mais uma indicação do BlackByte status crescente no mundo do ransomware sempre dinâmico. A rede da vítima é comprometida e os invasores desviam os dados usando o Exbyte e, em seguida, bloqueiam a rede usando o BlackByte.
“Após a saída de uma série de grandes operações de ransomware, como Conti e Sodinokibi [also known as REvil]o BlackByte emergiu como um dos agentes de ransomware a lucrar com essa lacuna no mercado”, escreveu a equipe da Symantec em um relatório. “O fato de que os atores agora estão criando ferramentas personalizadas para usar em ataques BlackByte sugere que isso pode estar a caminho de se tornar uma das ameaças dominantes de ransomware”.
A BlackByte surgiu em julho de 2021 e rapidamente se tornou um grupo significativo no espaço RaaS. A Agência de Segurança Cibernética e Infraestrutura (CISA) do governo dos EUA e o FBI emitiram em fevereiro uma alerta [PDF]observando que o ransomware foi usado várias vezes para atacar empresas americanas e estrangeiras, incluindo pelo menos três organizações em setores críticos de infraestrutura – governo, financeiro e alimentos e agricultura – nos Estados Unidos.
O grupo BlackByte também estava por trás de um ataque no time de futebol San Francisco 49ers em fevereiro.
A Symantec diz que a operação BlackByte RaaS é administrada por uma equipe que chama de Hecamede e que, nos últimos meses, o ransomware está entre os mais usados em ataques. Trend Micro em um relatório observou que os operadores da BlackByte não apenas permitem que as afiliadas usem seu malware diretamente, mas também possam implantá-lo em seus próprios ataques.
Como um RaaS, o BlackByte e sua infraestrutura de back-end são basicamente alugados para criminosos usarem, com os operadores do malware do Windows recebendo uma parte de quaisquer ganhos ilícitos do uso de seu código.
Como um número crescente de outras gangues de ransomware, a BlackByte e suas afiliadas também estão no esquema de extorsão de dados, roubando dados e ameaçando vazá-los publicamente ou até mesmo apagá-los se as vítimas não fizerem o pagamento exigido.
O Exbyte não está sozinho como uma ferramenta personalizada de exfiltração de dados. Os pesquisadores da Symantec apontaram para o Exmatter de roubo de arquivos detectado em novembro de 2021 e usado pela gangue de ransomware BlackMatter e, mais tarde, em Noberus ataques de ransomware. Há também o Ryuk Stealer e o StealBit, que eles disseram estar vinculados ao LockBit.
Alguns grupos, como Karakurt, estão pulando totalmente a etapa de criptografia e indo direto para a exfiltração de dados e extorsão. A tendência de apenas extorsão está crescendo à medida que os grupos de ameaças estão evitando a programação complicada e a criptografia necessárias para embaralhar e desembaralhar os arquivos de uma vítima usando chaves mantidas em servidores remotos de back-end e buscando uma coleta simples de dados.
Uma vez executado, o Exbyte executa várias verificações para garantir que não esteja em um ambiente de área restrita para dificultar a análise do malware pelas equipes de segurança. Ele também verifica processos em execução de oito aplicativos e arquivos relacionados a antivírus ou sandbox.
Essas verificações são semelhantes às executadas pela própria carga útil do ransomware BlackByte, como pesquisadores da Sophos delineado em um relatório no início deste ano.
A ferramenta então pega os arquivos de documentos no sistema comprometido e os exfiltra, enviando-os para uma pasta criada pelo malware no Mega, com credenciais para a conta Mega codificada no Exbyte. Consulte o relatório da Symantec para obter detalhes técnicos sobre como detectá-lo.
Infecções recentes do BlackByte envolveram criminosos explorando vulnerabilidades do ProxyShell e ProxyLogon em servidores Microsoft Exchange e usando ferramentas como AdFind, AnyDesk, NetScan e PowerView para se mover por uma rede antes ou durante a implantação da carga útil do ransomware de codificação de arquivos. Eles também implantam a versão 2.0 do ransomware BlackByte em ataques mais recentes. ®
.
