最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

BlackByte勒索软件使用新的数据盗窃工具进行双重勒索

网络安全 快米云 来源:快米云 97浏览

数据盗窃

BlackByte 勒索软件附属机构正在使用一种名为“ExByte”的新自定义数据窃取工具来快速窃取受感染 Windows 设备的数据。

数据外泄被认为是双重勒索攻击中最重要的功能之一,BleepingComputer 告诉公司,公司支付赎金要求以防止数据泄露比接收解密器更常见。

因此,包括 ALPHV 和 LockBit在内的勒索软件运营商一直在努力改进他们的数据盗窃工具。

同时,其他威胁参与者,如 Karakurt,甚至不费心加密本地副本,只专注于数据泄露。

Exbyte 数据泄露工具

Exbyte 是由赛门铁克的安全研究人员发现的,他们说攻击者使用基于 Go 的渗透工具将被盗文件直接上传到 Mega 云存储服务。

执行后,该工具会执行反分析检查以确定它是否在沙盒环境中运行,并检查调试器和反病毒进程。

Exbyte 检查的过程是:

  • CodeCracker / SnD 的 MegaDumper 1.0
  • 导入重构器
  • x64dbg
  • x32dbg
  • OLLYDBG
  • 数据库
  • 交互式反汇编程序
  • 免疫调试器 – [CPU]

此外,恶意软件还会检查是否存在以下 DLL 文件:

  • avghooka.dll
  • avghoox.dll
  • sxin.dll
  • sf2.dll
  • sbiedll.dll
  • snxhk.dll
  • cmdvrt32.dll
  • cmdvrt64.dll
  • wpespy.dll
  • vmcheck.dll
  • pstorec.dll
  • dir_watch.dll
  • api_log.dll
  • dbghelp.dll

BlackByte 勒索软件二进制文件也实现了这些相同的测试,但渗漏工具需要独立运行它们,因为数据渗漏发生在文件加密之前。

如果测试是干净的,Exbyte 会枚举被破坏系统上的所有文档文件,并使用硬编码的帐户凭据将它们上传到 Mega 上新创建的文件夹。

“接下来,Exbyte 会枚举受感染计算机上的所有文档文件,例如 .txt、.doc 和 .pdf 文件,并将完整路径和文件名保存到 %APPDATA%\dummy,”赛门铁克的报告解释道。

“然后将列出的文件上传到恶意软件在 Mega.co.nz 上创建的文件夹。所使用的 Mega 帐户的凭据被硬编码到 Exbyte 中。”

黑字节依然强劲

BlackByte 于 2021 年夏天开始运营,到2022 年 2 月,该团伙已经侵入了许多私人和公共组织,包括 美国的关键基础设施

赛门铁克分析师报告称,最近的 BlackByte 攻击依赖于利用去年 Microsoft Exchange 服务器中的 ProxyShell 和 ProxyLogon 漏洞集。

此外,入侵者还使用 AdFind、AnyDesk、NetScan 和 PowerView 等工具进行横向移动。

正如 Sophos 在10 月份的一份报告中分析的那样,最近的攻击使用 了2.0 版 勒索软件,删除了内核通知例程以绕过 EDR 保护 。

与其他勒索软件操作一样,BlackByte 会删除卷影副本以防止数据恢复,修改防火墙设置以打开所有远程连接,并最终将自身注入“scvhost.exe”实例以进行加密阶段。

BlackByte 配置防火墙的命令
BlackByte 在主机上配置防火墙的命令 (Symantec)

根据昨天发布的英特尔 471 报告,在 2022 年第三季度,BlackByte 主要针对非洲的组织,可能会避免激怒西方执法部门。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » BlackByte勒索软件使用新的数据盗窃工具进行双重勒索