Aumentan los ataques del ransomware BlackByte 2.0
Un nuevo informe del equipo de Respuesta a Incidentes de Microsoft ha descubierto que se ha producido un aumento de los ataques de ransomware BlackByte 2.0. Estos ataques se caracterizan por su rapidez y destructividad, ya que el actor de la amenaza puede completar todo el proceso de ataque en tan solo cinco días.
El informe descubrió que los atacantes de BlackByte utilizan una variedad de métodos para lograr sus objetivos, incluyendo la explotación de Microsoft Exchange Servers sin parches, el despliegue de web shells para el acceso remoto, el uso de herramientas para la persistencia y el reconocimiento, y el despliegue de balizas Cobalt Strike para el mando y control.
Además de cifrar los datos, los atacantes de BlackByte también despliegan puertas traseras que les dan acceso continuo a los sistemas comprometidos. Esto les permite robar datos confidenciales, instalar malware adicional o incluso lanzar otros ataques utilizando el ransomware BlackByte2.0.
El actor de la amenaza obtuvo acceso aprovechando vulnerabilidades en servidores Microsoft Exchange sin parchear, especialmente CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207. Comenzó a ejecutarse desde la dirección IP 185.225.73.244 y desarrolló persistencia mediante la generación de claves de ejecución del registro que ejecutaban una carga útil al inicio de sesión del usuario después de obtener acceso a nivel de sistema, enumerar información de usuario, crear web shells y establecer control remoto sobre los sistemas objetivo.
A continuación, el actor de la amenaza utilizaba un archivo de puerta trasera llamado api-msvc.dll para recopilar datos del sistema y enviarlos a un servidor de comando y control (C2) ubicado en hxxps://myvisit.alteksecurity.org/t. Otro archivo, api-system.png, se comportaba de forma similar y utilizaba claves de ejecución para la persistencia. La persistencia se logró utilizando Cobalt Strike Beacon (sys.exe), que se descargó de temp[.]sh e interactuó con el canal C2 en 109.206.243.59:443.
Además, el actor de la amenaza utilizó el programa de acceso remoto AnyDesk, que se instaló como un servicio para preservar la persistencia y ayudar a la migración de la red. El registro de AnyDesk revela conexiones VPN TOR y MULLVAD.
La amenaza utilizó la herramienta de descubrimiento de redes NetScan (netscan.exe y netapp.exe) y la herramienta de reconocimiento de Active Directory AdFind (f157090fd3ccd4220298c06ce8734361b724d80459592b10ac632acc624f455e) para enumerar la red. La puesta en escena y la exfiltración de datos se realizaban con el uso de explorer.exe (Trojan:Win64/WinGoObfusc.LK!MT), un archivo que desactivaba el antivirus Microsoft Defender.
Este archivo ExByte es una herramienta frecuente en los ataques del ransomware BlackByte para recopilar y filtrar archivos. Se sospecha que Mimikatz es explotado para el robo de credenciales, con credenciales de administrador de dominio robadas que se utilizan para el movimiento lateral a través de Remote Desktop Protocol (RDP) y PowerShell remoting.
Además, el ransomware BlackByte 2.0 es capaz de evadir los programas antivirus y manipular el Firewall de Windows, el registro y los procesos en curso. También puede cifrar datos en recursos compartidos de red y otras formas de disimular sus huellas y dificultar su análisis.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.