Onderzoek Zscaler ThreatLabz: Ransomware-as-a-Service-variant BlackByte viert hoogtijdagen

BlackByte is een full-featured ransomwarefamilie die voor het eerst de kop op stak in juli 2021.
De ransomware was oorspronkelijk geschreven in C# en is later doorontwikkeld in de Go-programmeertaal rond september 2021.

De groep exfiltreert data voordat het ransomware inzet en lekt de gestolen informatie als het losgeld niet betaald wordt.
De groep heeft miljoenen losgeld geëist van sommige slachtoffers.
BlackByte-ransomware gebruikt verschillende anti-analyse-technieken, zoals meerdere dynamische algoritmen voor het verduisteren van strings.

In vroegere versies van de ransomware werd file encryptie gebruikt als hardcoded 1,024-bit RSA public key naast een 128-bit AES key die uit een file werd gehaald via een command-and-control-server.
Meer recente BlackByte versies gebruiken Curve25519 Elliptic Curve Cryptography (ECC) voor asymmetrische encryptie en ChaCha20 voor symmetrische file encryptie.

Het Zscaler ThreatLabz-team heeft de ransomwarefamilie BlackByte onderzocht en deelt zijn bevindingen.

Wat is BlackByte?
BlackByte is een Ransomware-as-a-Service (RaaS)-groep die bedrijven wereldwijd aanvalt sinds juli 2021. Eerdere versies van de ransomware werden geschreven in C#. Inmiddels hebben de auteurs de ransomware herontwikkeld met gebruik van de Go programmeertaal. De BlackByte Go variant werd gebruikt in meerdere aanvallen op kritieke infrastructuur in de VS. De FBI heeft het dan ook opgenomen in zijn advisory.

BlackByte-varianten
Het Zscaler ThreatLabz-team heeft twee varianten geïdentificeerd van de Go variant van BlackByte. De eerste variant werd gespot in september 2021 en heeft veel overeenkomsten met de C# versie, inclusief de opdrachten die worden uitgevoerd om laterale propagatie, privilege-escalatie en algoritmen voor file-encryptie uit te voeren. Een meer recente Go variant werd geïntroduceerd rond februari 2022. Deze nieuwe variant introduceerde veel extra features en geüpdatete algoritmen voor file-encryptie.

Interessant is dat BlackByte instellingen heeft die bepaalde talen ontwijken, zoals Russisch, Oekraïens, Armenisch en Georgisch. Deze talen worden specifiek vermeden door BlackByte om te voorkomen dat bestanden worden versleuteld op systemen die zich in landen van het Gemenebest van Onafhankelijke Staten (GOS) bevinden. Dit geeft waarschijnlijk aan dat de dreigingsactoren achter BlackByte zich in Oost-Europa en/of Rusland bevinden. Dit is bedoeld om de dreiging te verminderen dat lokale wetshandhavers in die regio’s strafrechtelijke vervolging zullen instellen tegen degenen die verantwoordelijk zijn voor BlackByte.

Conclusie
BlackByte is een complete ransomware-familie die wordt beheerd door een dreigingsgroep die organisaties binnendringt en grote bedragen aan losgeld eist. De dreigingsgroep voert ook dubbele afpersingsaanvallen uit door de bestanden van een organisatie te stelen en online te lekken als het losgeld niet wordt betaald. De ransomware-code zelf wordt regelmatig bijgewerkt om bugs op te lossen, beveiligingssoftware te omzeilen en malware-analyse te belemmeren. De coderingsalgoritmen zijn ook beter beveiligd om bestandsherstel te voorkomen. Dit toont aan dat de dreigingsgroep de ransomware waarschijnlijk zal blijven verbeteren en een aanzienlijke dreiging voor organisaties zal blijven.

 

Gerelateerde berichten...

X