BlackByte 勒索软件使用新的数据盗窃工具进行双重勒索

©网络研究院

BlackByte 勒索软件附属公司正在使用一种名为“ExByte”的新自定义数据窃取工具来快速窃取受感染 Windows 设备的数据。

数据泄露被认为是双重勒索攻击中最重要的功能之一，与接收解密器相比，公司更普遍地支付赎金以防止数据泄露。

因此，包括 ALPHV 和 LockBit在内的勒索软件运营商一直在努力改进他们的数据盗窃工具。

同时，其他威胁参与者，如 Karakurt，甚至不费心加密本地副本，只专注于数据泄露。

Exbyte 数据泄露工具

Exbyte 是由赛门铁克的安全研究人员发现的，他们说攻击者使用基于 Go 的渗透工具将被盗文件直接上传到 Mega 云存储服务。

执行后，该工具会执行反分析检查以确定它是否在沙盒环境中运行，并检查调试器和反病毒进程。

Exbyte 检查的过程是：

• MegaDumper 1.0 by CodeCracker / SnD
• Import reconstructor
• x64dbg
• x32dbg
• OLLYDBG
• WinDbg
• The Interactive Disassembler
• Immunity Debugger – [CPU]

此外，恶意软件还会检查是否存在以下 DLL 文件：

• avghooka.dll
• avghookx.dll
• sxin.dll
• sf2.dll
• sbiedll.dll
• snxhk.dll
• cmdvrt32.dll
• cmdvrt64.dll
• wpespy.dll
• vmcheck.dll
• pstorec.dll
• dir_watch.dll
• api_log.dll
• dbghelp.dll

BlackByte 勒索软件二进制文件也实现了这些相同的测试，但渗漏工具需要独立运行它们，因为数据渗漏发生在文件加密之前。

如果测试是干净的，Exbyte 会枚举被破坏系统上的所有文档文件，并使用硬编码的帐户凭据将它们上传到 Mega 上新创建的文件夹。

“接下来，Exbyte 会枚举受感染计算机上的所有文档文件，例如 .txt、.doc 和 .pdf 文件，并将完整路径和文件名保存到 %APPDATA%dummy，”赛门铁克的报告解释道。

“然后将列出的文件上传到恶意软件在 Mega.co.nz 上创建的文件夹。所使用的 Mega 帐户的凭据被硬编码到 Exbyte 中。”

BlackByte 于 2021 年夏天开始运营，到2022 年 2 月，该团伙已经侵入了许多私人和公共组织，包括美国的关键基础设施。

赛门铁克分析师报告称，最近的 BlackByte 攻击依赖于利用去年 Microsoft Exchange 服务器中的 ProxyShell 和 ProxyLogon 漏洞集。

此外，入侵者还使用 AdFind、AnyDesk、NetScan 和 PowerView 等工具进行横向移动。

正如 Sophos 在10 月份的一份报告中分析的那样，最近的攻击使用 了2.0 版 勒索软件，删除了内核通知例程以绕过 EDR 保护 。

与其他勒索软件操作一样，BlackByte 会删除卷影副本以防止数据恢复，修改防火墙设置以打开所有远程连接，并最终将自身注入“scvhost.exe”实例以进行加密阶段。

根据发布的英特尔 471 报告，在 2022 年第三季度，BlackByte 主要针对非洲的组织，可能会避免激怒西方执法部门。

原文始发于微信公众号（网络研究院）：BlackByte 勒索软件使用新的数据盗窃工具进行双重勒索