De BlackByte-ransomware is gebruikt bij aanvallen op ten minste drie kritieke infrastructuursectoren in de Verenigde Staten, waarschuwen de Federal Bureau of Investigation (FBI) en de Amerikaanse geheime dienst (USSS) in een gezamenlijk advies.
Beschikbaar als Ransomware-as-a-Service (RaaS), ZwartByte is gebruikt bij aanvallen op Amerikaanse en buitenlandse bedrijven, ook in kritieke infrastructuursectoren zoals de overheid, de financiële sector en de voedsel- en landbouwsector, waarschuwen de FBI en de USSS.
BlackByte-operators beweerden onlangs financiële gegevens te hebben verkregen van de San Francisco 49ers als gevolg van een aanval die gericht was op het voetbalteam.
Sommige slachtoffers, de gezamenlijk advies zegt, ontdekten dat de aanvallers misbruik maakten van een bekende kwetsbaarheid van Microsoft Exchange Server om de eerste toegang tot hun omgevingen te krijgen.
Vervolgens implementeerden de ransomware-operators tools waarmee ze zijdelings op het netwerk konden bewegen en probeerden ze ook de privileges te verhogen voordat ze gegevens stalen en versleutelden.
Na een BlackByte-aanval vindt het slachtoffer doorgaans een losgeldbrief in alle mappen waar de bestanden werden versleuteld. De notitie instrueert het slachtoffer om toegang te krijgen tot een website op het Tor-netwerk om losgeld te betalen in ruil voor de decoderingssleutel.
[LEZEN: SecurityWeek Cyber Insights 2022: Ransomware]
De FBI en de USSS merken ook op dat bij sommige incidenten bestanden slechts gedeeltelijk werden versleuteld. "In gevallen waar decodering niet mogelijk is, kan enig gegevensherstel plaatsvinden", luidt het advies.
Terwijl eerdere versies van de ransomware een .png-bestand downloadden voordat het versleutelingsproces werd gestart, communiceren nieuwere varianten niet langer met externe IP-adressen.
Er werd waargenomen dat de ransomware een proces voortbracht en er code in injecteerde, geplande taken en specifieke artefacten creëerde, bepaalde bestanden liet vallen en specifieke opdrachten uitvoerde.
Het gezamenlijke advies van de FBI en de USSS bevat een lange lijst van Indicators of Compromise (IoC's) die verband houden met BlackByte, evenals aanbevelingen over hoe organisaties de risico op ransomware.
Zie ook: Ransomware richtte zich in 14 op 16 van de 2021 kritieke infrastructuursectoren in de VS
Zie ook: 5 manieren om het risico van ransomware voor uw OT-netwerk te verminderen
Zie ook: CISA waarschuwt voor dreiging van ransomware voor industriële systemen
Ionut Arghire is een internationale correspondent voor SecurityWeek.
Tags:
