Portada » Home » Ransomware BlackByte regresa con nuevas capacidades

Ransomware BlackByte regresa con nuevas capacidades

Investigadores de la Unidad 42 de Palo Alto Networks han publicado un informe con muestras recientes del ransomware BlackByte, incluyendo las tácticas de acceso y persistencia.

Investigadores observaron recientemente múltiples variantes del ransomware BlackByte. Estas variantes están escritas en Go y DotNET, además de otra escrita con una combinación de lenguajes Go y C.

Las cargas útiles de ransomware se empaquetan mediante UPX y poseen capacidades de gusano.

Las muestras tienen iconos adjuntos que muestran una imagen de la parca. Algunas versiones más nuevas actualizaron sus íconos .exe con el ángel de la muerte, junto con el ícono BB (BlackByte).

Se observó a los actores de ransomware haciendo cambios en el registro en un intento de escalar los privilegios.

Tácticas de acceso y persistencia

Para el acceso inicial, los atacantes están explorando una vulnerabilidad conocida de Microsoft Exchange Server (vulnerabilidades de ProxyShell: CVE-2021-34523, CVE-2021-34473, CVE-2021-31207).

Para persistir, los atacantes entregan un shell web malicioso para la ejecución remota de código. Además, el ransomware excluye el sistema clave y las carpetas de aplicaciones, junto con los componentes clave.

Anteriormente, los investigadores desarrollaron un descifrador para BlackByte que se publicó en GitHub. Sin embargo, los atacantes desarrollaron una nueva versión y advirtieron contra el uso de un descifrador público.

El grupo de ransomware comprometió a múltiples organizaciones estadounidenses y mundiales en los sectores de agricultura, energía, servicios públicos y financieros.

Si bien la mayoría de las víctimas se encuentran principalmente en los EE. UU., el grupo se ha dirigido a organizaciones en Canadá, América del Sur, Europa, Australia, Asia y África.