ClickCease Les attaques du ransomware BlackByte 2.0 se multiplient

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Les attaques du ransomware BlackByte 2.0 se multiplient

Le 17 juillet 2023 - L'équipe de relations publiques de TuxCare

Un nouveau rapport de l'équipe de réponse aux incidents de Microsoft fait état d'une recrudescence des attaques de ransomware BlackByte 2.0. Ces attaques se caractérisent par leur rapidité et leur caractère destructeur, l'acteur de la menace étant capable de mener à bien l'ensemble du processus d'attaque en cinq jours seulement.

Le rapport indique que les attaquants de BlackByte utilisent diverses méthodes pour atteindre leurs objectifs, notamment l'exploitation de serveurs Microsoft Exchange non corrigés, le déploiement de shells web pour l'accès à distance, l'utilisation d'outils de persistance et de reconnaissance, et le déploiement de balises Cobalt Strike pour le commandement et le contrôle.

Outre le chiffrement des données, les attaquants de BlackByte déploient également des portes dérobées qui leur donnent un accès continu aux systèmes compromis. Cela leur permet de voler des données sensibles, d'installer d'autres logiciels malveillants ou même de lancer d'autres attaques à l'aide du ransomware BlackByte2.0.

L'acteur de la menace a obtenu l'accès en exploitant des vulnérabilités dans des serveurs Microsoft Exchange non corrigés, en particulier CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207. Il a commencé à fonctionner à partir de l'adresse IP 185.225.73.244 et a développé une persistance en générant des clés d'exécution de registre qui ont exécuté une charge utile lors de la connexion de l'utilisateur après avoir obtenu un accès au niveau du système, énuméré des informations sur l'utilisateur, construit des shells web et établi un contrôle à distance sur les systèmes ciblés.

L'acteur de la menace a ensuite utilisé un fichier backdoor appelé api-msvc.dll pour collecter des données système et les envoyer à un serveur de commande et de contrôle (C2) situé à l'adresse hxxps://myvisit.alteksecurity.org/t. Un autre fichier, api-system.png, se comportait de la même manière et utilisait des clés d'exécution pour la persistance. La persistance a été obtenue en utilisant Cobalt Strike Beacon (sys.exe), qui a été téléchargé à partir de temp[.]sh et a interagi avec le canal C2 à 109.206.243.59:443.

En outre, l'auteur de la menace a utilisé le programme d'accès à distance AnyDesk, qui a été installé en tant que service pour préserver la persistance et faciliter la migration du réseau. Le journal d'AnyDesk révèle des connexions VPN TOR et MULLVAD.

L'auteur de la menace a utilisé l'outil de découverte du réseau NetScan (netscan.exe et netapp.exe) et l'outil de reconnaissance Active Directory AdFind (f157090fd3ccd4220298c06ce8734361b724d80459592b10ac632acc624f455e) pour dénombrer le réseau. La mise en scène et l'exfiltration des données ont été réalisées à l'aide d'explorer.exe (Trojan:Win64/WinGoObfusc.LK!MT), un fichier qui a désactivé l'antivirus Microsoft Defender.

Ce fichier ExByte est un outil fréquemment utilisé dans les attaques de ransomware BlackByte pour collecter et exfiltrer des fichiers. Mimikatz est soupçonné d'être exploité pour le vol d'informations d'identification, les informations d'identification d'administrateur de domaine volées étant utilisées pour des déplacements latéraux par le biais du protocole de bureau à distance (RDP) et du remoting PowerShell.

En outre, le ransomware BlackByte 2.0 est capable d'échapper aux programmes antivirus et de manipuler le pare-feu Windows, le registre et les processus en cours. Il peut également crypter des données sur des partages de réseau et d'autres moyens de dissimuler ses empreintes et de rendre l'analyse difficile.

Les sources de cet article comprennent un article de TheHackerNews.

Résumé
Les attaques du ransomware BlackByte 2.0 se multiplient
Nom de l'article
Les attaques du ransomware BlackByte 2.0 se multiplient
Description
Un nouveau rapport de l'équipe de réponse aux incidents de Microsoft fait état d'une recrudescence des attaques de ransomware BlackByte 2.0.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information