Ransomware BlackByte regresa con nuevas capacidades
abril 27, 2022Investigadores de la Unidad 42 de Palo Alto Networks han publicado un informe con muestras recientes del ransomware BlackByte, incluyendo las tácticas de acceso y persistencia. Investigadores observaron recientemente múltiples variantes del ransomware BlackByte. Estas variantes están escritas en Go y DotNET, además de otra escrita con una combinación de lenguajes Go y C. Las […]
Investigadores de la Unidad 42 de Palo Alto Networks han publicado un informe con muestras recientes del ransomware BlackByte, incluyendo las tácticas de acceso y persistencia.
Investigadores observaron recientemente múltiples variantes del ransomware BlackByte. Estas variantes están escritas en Go y DotNET, además de otra escrita con una combinación de lenguajes Go y C.
Las cargas útiles de ransomware se empaquetan mediante UPX y poseen capacidades de gusano.
Las muestras tienen iconos adjuntos que muestran una imagen de la parca. Algunas versiones más nuevas actualizaron sus íconos .exe con el ángel de la muerte, junto con el ícono BB (BlackByte).
Se observó a los actores de ransomware haciendo cambios en el registro en un intento de escalar los privilegios.
Tácticas de acceso y persistencia
Para el acceso inicial, los atacantes están explorando una vulnerabilidad conocida de Microsoft Exchange Server (vulnerabilidades de ProxyShell: CVE-2021-34523, CVE-2021-34473, CVE-2021-31207).
Para persistir, los atacantes entregan un shell web malicioso para la ejecución remota de código. Además, el ransomware excluye el sistema clave y las carpetas de aplicaciones, junto con los componentes clave.
Anteriormente, los investigadores desarrollaron un descifrador para BlackByte que se publicó en GitHub. Sin embargo, los atacantes desarrollaron una nueva versión y advirtieron contra el uso de un descifrador público.
El grupo de ransomware comprometió a múltiples organizaciones estadounidenses y mundiales en los sectores de agricultura, energía, servicios públicos y financieros.
Si bien la mayoría de las víctimas se encuentran principalmente en los EE. UU., el grupo se ha dirigido a organizaciones en Canadá, América del Sur, Europa, Australia, Asia y África.
Artículos relacionados
Prynt Stealer: un nuevo malware que ronda en foros de ciberdelincuencia
27 de abril de 2022Investigadores de seguridad descubrieron un nuevo ladrón de información en foros de ciberdelincuencia, el cual tiene varias capacidades, como extraer datos de las víctimas y realizar robos financieros con la ayuda de clippers y keylogging.
Costa Rica y Perú, víctimas recientes del ransomware Conti
28 de abril de 2022El grupo de ransomware Conti publicó recientemente -en su sitio de la dark web- que obtuvieron acceso a los sistemas de varios ministerios de Costa Rica robando información confidencial, días después la Dirección Nacional de Inteligencia de Perú fue la siguiente víctima.
