El ransomware BlackByte agrega la herramienta una de exfiltración para fortalecer sus tácticas de extorsión

Los ciberdelincuentes agregan con frecuencia nuevas herramientas personalizadas para acelerar y mejorar sus campañas. Esta vez, los atacantes de BlackByte fueron detectados con una nueva herramienta de exfiltración llamada Exbyte (Infostealer.Exbyte) en sus operaciones recientes, en su mayoría abusando de las fallas de ProxyShell. Con Exbyte, los operadores del ransomware BlackByte pueden lanzar ataques de […]

Los ciberdelincuentes agregan con frecuencia nuevas herramientas personalizadas para acelerar y mejorar sus campañas. Esta vez, los atacantes de BlackByte fueron detectados con una nueva herramienta de exfiltración llamada Exbyte (Infostealer.Exbyte) en sus operaciones recientes, en su mayoría abusando de las fallas de ProxyShell.

Con Exbyte, los operadores del ransomware BlackByte pueden lanzar ataques de doble extorsión aún más potentes. Según Symantec, Hecamede, el grupo detrás de la operación BlackByte RaaS, ha diseñado el malware para acelerar el robo de datos de la red de la víctima y subirlos a un servidor externo.

Al menos un afiliado del ransomware (Ransom.BlackByte) está utilizando activamente Exbyte durante sus ataques.

Exbyte es una herramienta de exfiltración basada en Go que carga archivos robados directamente al servicio de almacenamiento en la nube de Mega.
Tras la ejecución, realiza comprobaciones antianálisis, así como comprobaciones de depuradores y procesos antivirus para evadir la detección.

Una vez que se pasan las comprobaciones, Exbyte enumera todos los archivos de documentos en la computadora infectada. Posteriormente, guarda las rutas de los archivos y carga estos archivos en una carpeta que crea el malware en Mega.co.nz usando credenciales de cuenta codificadas.

Según un informe Intel 471, en el tercer trimestre de 2022, BlackByte se dirigió principalmente a organizaciones en África, probablemente para evitar llamar la atención de las agencias policiales occidentales.

En ataques recientes, los operadores de BlackByte emplearon la versión 2.0 del ransomware, al abusar de la vulnerabilidad BYOD en controladores legítimos para deshabilitar los productos de seguridad.

Con nuevas herramientas personalizadas, técnicas de distribución y tácticas antidetección, BlackByte está estableciendo un nuevo estándar en el mundo del ransomware. Las organizaciones deben mantenerse al día con los parches de seguridad, como los de las vulnerabilidades de ProxyShell, e implementar marcos de seguridad aptos para solidificar las defensas contra el ransomware.