BlackByte 2.0 Ransomware-Angriffe auf dem Vormarsch
Ein neuer Bericht des Incident Response-Teams von Microsoft hat ergeben, dass die Zahl der Ransomware-Angriffe mit BlackByte 2.0 stark zugenommen hat. Diese Angriffe zeichnen sich durch ihre Schnelligkeit und Zerstörungskraft aus, wobei der Angreifer den gesamten Angriffsprozess in nur fünf Tagen abschließen kann.
Dem Bericht zufolge nutzen BlackByte-Angreifer eine Vielzahl von Methoden, um ihre Ziele zu erreichen, darunter die Ausnutzung ungepatchter Microsoft Exchange Server, die Bereitstellung von Web-Shells für den Fernzugriff, die Verwendung von Tools für Persistenz und Aufklärung sowie die Bereitstellung von Cobalt Strike Beacons für die Befehls- und Kontrollfunktion.
BlackByte-Angreifer verschlüsseln nicht nur Daten, sondern setzen auch Hintertüren ein, die ihnen dauerhaften Zugriff auf kompromittierte Systeme ermöglichen. So können sie sensible Daten stehlen, zusätzliche Malware installieren oder sogar weitere Angriffe mit BlackByte2.0-Ransomware starten.
Der Bedrohungsakteur verschaffte sich Zugang, indem er Schwachstellen in ungepatchten Microsoft Exchange Servern ausnutzte, insbesondere CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207. Er wurde von der IP-Adresse 185.225.73.244 aus gestartet und entwickelte Persistenz, indem er Registrierungsausführungsschlüssel generierte, die bei der Benutzeranmeldung eine Nutzlast ausführten, nachdem er Zugriff auf Systemebene erhalten hatte, Benutzerinformationen auflistete, Web-Shells erstellte und die Fernsteuerung der Zielsysteme übernahm.
Der Bedrohungsakteur verwendete dann eine Backdoor-Datei namens api-msvc.dll, um Systemdaten zu sammeln und sie an einen Command-and-Control-Server (C2) unter hxxps://myvisit.alteksecurity.org/t zu senden. Eine andere Datei, api-system.png, verhielt sich ähnlich und verwendete Run Keys für die Persistenz. Die Persistenz wurde durch die Verwendung von Cobalt Strike Beacon (sys.exe) erreicht, das von temp[.]sh heruntergeladen wurde und mit dem C2-Kanal unter 109.206.243.59:443 interagierte.
Darüber hinaus verwendete der Bedrohungsakteur das Fernzugriffsprogramm AnyDesk, das als Dienst installiert wurde, um die Persistenz zu wahren und die Netzwerkmigration zu unterstützen. Das AnyDesk-Protokoll zeigt TOR- und MULLVAD-VPN-Verbindungen.
Der Bedrohungsakteur nutzte das Netzwerkerkennungs-Tool NetScan (netscan.exe und netapp.exe) und das Active Directory-Aufklärungstool AdFind (f157090fd3ccd4220298c06ce8734361b724d80459592b10ac632acc624f455e), um das Netzwerk zu durchforsten. Die Datenbereitstellung und -exfiltration erfolgte mithilfe von explorer.exe (Trojan:Win64/WinGoObfusc.LK!MT), einer Datei, die Microsoft Defender Antivirus deaktivierte.
Diese ExByte-Datei ist ein häufiges Werkzeug in BlackByte-Ransomware-Angriffen zum Sammeln und Exfiltrieren von Dateien. Es wird vermutet, dass Mimikatz für den Diebstahl von Anmeldeinformationen ausgenutzt wird, wobei gestohlene Domänenadministrator-Anmeldeinformationen für laterale Bewegungen über das Remote Desktop Protocol (RDP) und PowerShell-Remoting verwendet werden.
Darüber hinaus ist BlackByte 2.0 ransomware in der Lage, Antivirenprogramme zu umgehen und die Windows-Firewall, die Registrierung und laufende Prozesse zu manipulieren. Sie kann auch Daten auf Netzwerkfreigaben und andere Wege verschlüsseln, um ihre Spuren zu verwischen und die Analyse zu erschweren.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.