Ransomware-as-a-Service (RaaS)-groep BlackByte, die bedrijven wereldwijd aanvalt sinds juli 2021, rukt op. Eerdere versies van de ransomware werden geschreven in C#. Inmiddels hebben de auteurs de ransomware herontwikkeld met gebruik van de Go programmeertaal. De BlackByte Go variant werd gebruikt in meerdere aanvallen op kritieke infrastructuur in de VS. De FBI heeft het dan ook opgenomen in zijn advisory.
BlackByte-varianten
Het Zscaler ThreatLabz-team heeft twee varianten geïdentificeerd van de Go variant van BlackByte. De eerste variant werd gespot in september 2021 en heeft veel overeenkomsten met de C# versie, inclusief de opdrachten die worden uitgevoerd om laterale propagatie, privilege-escalatie en algoritmen voor file-encryptie uit te voeren. Een meer recente Go variant werd geïntroduceerd rond februari 2022. Deze nieuwe variant introduceerde veel extra features en geüpdatete algoritmen voor file-encryptie.
Dreiging verminderen
Interessant is dat BlackByte instellingen heeft die bepaalde talen ontwijken, zoals Russisch, Oekraïens, Armenisch en Georgisch. Deze talen worden specifiek vermeden door BlackByte om te voorkomen dat bestanden worden versleuteld op systemen die zich in landen van het Gemenebest van Onafhankelijke Staten (GOS) bevinden.
Dit geeft waarschijnlijk aan dat de dreigingsactoren achter BlackByte zich in Oost-Europa en/of Rusland bevinden. Dit is bedoeld om de dreiging te verminderen dat lokale wetshandhavers in die regio’s strafrechtelijke vervolging zullen instellen tegen degenen die verantwoordelijk zijn voor BlackByte.
Grote bedragen aan losgeld
BlackByte is een complete ransomware-familie die wordt beheerd door een dreigingsgroep die organisaties binnendringt en grote bedragen aan losgeld eist. De dreigingsgroep voert ook dubbele afpersingsaanvallen uit door de bestanden van een organisatie te stelen en online te lekken als het losgeld niet wordt betaald.
De ransomware-code zelf wordt regelmatig bijgewerkt om bugs op te lossen, beveiligingssoftware te omzeilen en malware-analyse te belemmeren. De coderingsalgoritmen zijn ook beter beveiligd om bestandsherstel te voorkomen. Dit toont aan dat de dreigingsgroep de ransomware waarschijnlijk zal blijven verbeteren en een aanzienlijke dreiging voor organisaties zal blijven.
