BlackByte 勒索软件使用新的数据盗窃工具进行双重勒索

2022年10月29日16:29:05评论17 views字数 1347阅读4分29秒阅读模式

©网络研究院

BlackByte 勒索软件附属公司正在使用一种名为“ExByte”的新自定义数据窃取工具来快速窃取受感染 Windows 设备的数据。

数据泄露被认为是双重勒索攻击中最重要的功能之一，与接收解密器相比，公司更普遍地支付赎金以防止数据泄露。

因此，包括 ALPHV 和 LockBit在内的勒索软件运营商一直在努力改进他们的数据盗窃工具。

同时，其他威胁参与者，如 Karakurt，甚至不费心加密本地副本，只专注于数据泄露。

Exbyte 数据泄露工具

Exbyte 是由赛门铁克的安全研究人员发现的，他们说攻击者使用基于 Go 的渗透工具将被盗文件直接上传到 Mega 云存储服务。

执行后，该工具会执行反分析检查以确定它是否在沙盒环境中运行，并检查调试器和反病毒进程。

Exbyte 检查的过程是：

此外，恶意软件还会检查是否存在以下 DLL 文件：

BlackByte 勒索软件二进制文件也实现了这些相同的测试，但渗漏工具需要独立运行它们，因为数据渗漏发生在文件加密之前。

如果测试是干净的，Exbyte 会枚举被破坏系统上的所有文档文件，并使用硬编码的帐户凭据将它们上传到 Mega 上新创建的文件夹。

“接下来，Exbyte 会枚举受感染计算机上的所有文档文件，例如 .txt、.doc 和 .pdf 文件，并将完整路径和文件名保存到 %APPDATA%dummy，”赛门铁克的报告解释道。

“然后将列出的文件上传到恶意软件在 Mega.co.nz 上创建的文件夹。所使用的 Mega 帐户的凭据被硬编码到 Exbyte 中。”

BlackByte 于 2021 年夏天开始运营，到2022 年 2 月，该团伙已经侵入了许多私人和公共组织，包括美国的关键基础设施。

赛门铁克分析师报告称，最近的 BlackByte 攻击依赖于利用去年 Microsoft Exchange 服务器中的 ProxyShell 和 ProxyLogon 漏洞集。

此外，入侵者还使用 AdFind、AnyDesk、NetScan 和 PowerView 等工具进行横向移动。

正如 Sophos 在10 月份的一份报告中分析的那样，最近的攻击使用了2.0 版勒索软件，删除了内核通知例程以绕过 EDR 保护。

与其他勒索软件操作一样，BlackByte 会删除卷影副本以防止数据恢复，修改防火墙设置以打开所有远程连接，并最终将自身注入“scvhost.exe”实例以进行加密阶段。

根据发布的英特尔 471 报告，在 2022 年第三季度，BlackByte 主要针对非洲的组织，可能会避免激怒西方执法部门。

原文始发于微信公众号（网络研究院）：BlackByte 勒索软件使用新的数据盗窃工具进行双重勒索

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究，若将其信息做其他用途，由用户承担全部法律及连带责任，本站不承担任何法律及连带责任，请遵守中华人民共和国安全法.