14 февраль 2022
BlackByte ransomware
Енкодер-вымогатель BlackByte, индикаторы компрометации в инфраструктуре организации и история выполненных команд, запущенных служб и оставленных злоумышленниками артефактов от FBI
BlackByte — шифровальщик-вымогатель, относящийся к семейству RaaS(Ransomware as a Service), который производит шифрование на скомпрометированных хостах с ОС Windows. В 2021 году BlackByte успешно атаковал несколько корпораций США и иных государств, а также сферу критической инфраструктуры США.
Шифровальщик оставляет уведомление со ссылкой на .onion сайт в каждой директории, где было произведено шифрование данных, для оплаты жертвой выкупа. Некоторые ранее атакованные шифровальщиком организации сообщали, что злоумышленники использовали известные уязвимости
в Microsoft Exchange, с целью сбора информации о сети жертвы. После проникновения в сеть, злоумышленники развертывали необходимые утилиты для дальнейшего продвижения (Lateral movement) и повышения привилегий ( все это происходило до удаления следов и шифрования).
В некоторых случаях производили шифрование некоторых файлов.
Шифровальщик оставляет уведомление со ссылкой на .onion сайт в каждой директории, где было произведено шифрование данных, для оплаты жертвой выкупа. Некоторые ранее атакованные шифровальщиком организации сообщали, что злоумышленники использовали известные уязвимости
в Microsoft Exchange, с целью сбора информации о сети жертвы. После проникновения в сеть, злоумышленники развертывали необходимые утилиты для дальнейшего продвижения (Lateral movement) и повышения привилегий ( все это происходило до удаления следов и шифрования).
В некоторых случаях производили шифрование некоторых файлов.
Предыдущие версии BlackByte, прежде чем начать шифрование, загружали файл с расширением .png с IP адресов: 185.93.6.31 и 45.9.148.114. Последняя версия производит шифрование без связи с внешними IP источниками. Запуск шифровальщика происходит из директорий С:\windows\system32 & C:\Windows\. Также наблюдается process injection.
Индикаторы компрометации (IOCs):
Индикаторы компрометации (IOCs):
BlackByte создает задачи в Task Scheduler:
Могут быть найдены по пути Windows\System32\Tasks
Могут быть найдены по пути Windows\System32\Tasks
IIS logs также содержит GET и POST запросы к нескольким ASPX файлам, имеющим формат «<FILE_PATH>/<SUSPICIOUS_FILENAME>.aspxexec_code=Response.Write»
В таблице представлен список хеш-сумм подозрительных файлов, которые могут быть найдены на системе пораженной BlackByte:
В таблице представлен список хеш-сумм подозрительных файлов, которые могут быть найдены на системе пораженной BlackByte:
В таблице ниже представлен перечень команд, которые выполняются файлом шифровальщика complex.exe:
