A BlackByte a kipróbált és bevált módszereket keveri az újonnan felfedett sérülékenységekkel
A BlackByte ransomware csoport továbbra is felhasználja azokat a taktikákat, technikákat és eljárásokat (TTP-k), amelyek a megalakulása óta alapját képezik az eszközkészletének, folyamatosan fejlesztve a sebezhető illesztőprogramok használatát a biztonsági védelem megkerülésére, és egy önterjesztő, féregszerű ransomware titkosító programot telepítve. A Talos IR a közelmúltbeli vizsgálatok során azt is megfigyelte, hogy a BlackByte olyan technikákat alkalmaz, amelyek eltérnek a bevált módszerektől, például a CVE-2024-37085 – a VMware ESXi hitelesítési megkerülési sérülékenységének – kihasználása röviddel a nyilvánosságra hozatala után, és az áldozat engedélyezett távoli hozzáférési mechanizmusának használata ahelyett, hogy egy kereskedelmi távfelügyeleti eszközt, például az AnyDesk-et használná. A Talos IR megfigyelte a BlackByte titkosító egy új iterációját, amely a „blackbytent_h” fájlkiterjesztést csatolja a titkosított fájlokhoz, a korábban megfigyelt háromhoz képest négy sebezhető meghajtófájlt dob le, és az áldozat Active Directory hitelesítő adatait használja az önterjesztéshez. A Talos értékelése szerint a BlackByte-csoport aktívabb is, mint azt az adatszivárgási oldala sugallja, ahol a sikeres támadásoknak csak 20-30 százaléka eredményez zsaroló üzenetet.
A BlackByte egy ransomware-as-a-service (RaaS) csoport, amelyről úgy vélik, hogy a hírhedt Conti ransomware csoport egyik ága. Először 2021 közepén-végén figyelték meg őket, és a módszerük magában foglalja a sérülékeny illesztőprogramok használatát a biztonsági ellenőrzések megkerülésére, a féregszerű képességekkel rendelkező, önterjesztő zsarolóprogramok telepítését, valamint a támadási lánc részeként az ismert jó rendszer bináris állományok (LoLBins) és más legális kereskedelmi eszközök használatát. A BlackByte idővel átdolgozta a ransomware binárisát, amelynek Go, .NET, C++ vagy e nyelvek kombinációjával írt változatait. A csoport nyilvánvaló erőfeszítései, hogy folyamatosan fejlessze eszközeit, műveleteit és még az adatszivárgási oldalát is. A közelmúltban történt BlackByte-támadás kivizsgálása során a Cisco Talos Incident Response (Talos IR) és a Talos fenyegetéselhárítással foglalkozó munkatársai szoros hasonlóságot észleltek a vizsgálat során felfedezett IOC és a Talos globális telemetriájában megjelölt egyéb események között. E hasonlóságok további vizsgálata további betekintést nyújtott a BlackByte jelenlegi tevékenységébe, és feltárta, hogy a csoport lényegesen aktívabb, mint ahogy az az adatszivárgási oldalon közzétett áldozatok száma alapján látszik.
