กลุ่ม BlackByte Ransomware ใช้เครื่องมือเวอร์ชันใหม่สำหรับการขโมยข้อมูล

กลุ่ม BlackByte ransomware มีการใช้งานเครื่องมือเวอร์ชันใหม่ในการขโมยข้อมูล ซึ่งเป็นเครื่องมือที่ถูกสร้างขึ้นเองชื่อว่า 'ExByte' เพื่อใช้ขโมยข้อมูลจากอุปกรณ์ Windows ที่ถูกโจมตีได้อย่างรวดเร็ว

การขโมยข้อมูลนี้เป็นส่วนหนึ่งของขั้นตอนที่สำคัญที่สุดในการโจมตีแบบ double-extortion โดย BleepingComputer ระบุว่าบริษัทต่างๆ จะยอมจ่ายค่าไถ่เพื่อป้องกันการรั่วไหลของข้อมูลมากกว่าการรับตัวถอดรหัส

ด้วยเหตุนี้ทำให้การทำงานของกลุ่มแรนซัมแวร์ รวมถึง ALPHV และ LockBit มีการพัฒนาอย่างต่อเนื่องเพื่อปรับปรุงเครื่องมือที่ใช้สำหรับขโมยข้อมูล

กลุ่มแฮ็กเกอร์อื่น ๆ เช่น Karakurt ไม่สนใจกับการเข้ารหัสในเครื่อง โดยจะมุ่งเน้นในการโจมตีเพื่อขโมยข้อมูลเท่านั้น

เครื่องมือที่ใช้สำหรับการขโมยข้อมูล Exbyte

Exbyte ถูกพบโดยนักวิจัยด้านความปลอดภัยที่ Symantec ซึ่งระบุว่าผู้โจมตีใช้เครื่องมือในการขโมยข้อมูลแบบ Go-based เพื่ออัปโหลดไฟล์ที่ถูกขโมยโดยตรงไปยังบริการจัดเก็บข้อมูลระบบคลาวด์ของ Mega

เมื่อเริ่มดำเนินการ เครื่องมือจะทำการตรวจสอบการป้องกันการวิเคราะห์ เพื่อตรวจสอบการทำงานว่าอยู่ใน SANDBOX หรือไม่ และตรวจหาโปรแกรม debuggers และกระบวนการป้องกันมัลแวร์

processes ที่ Exbyte จะทำการตรวจสอบ คือ:

  • MegaDumper 1.0 by CodeCracker / SnD
  • Import reconstructor
  • x64dbg
  • x32dbg
  • OLLYDBG
  • WinDbg
  • The Interactive Disassembler
  • Immunity Debugger – [CPU]

นอกจากนี้ มัลแวร์ยังตรวจสอบการมีอยู่ของไฟล์ DLL ต่อไปนี้:

  • avghooka.dll
  • avghoox.dll
  • sxin.dll
  • sf2.dll
  • sbiedll.dll
  • snxhk.dll
  • cmdvrt32.dll
  • cmdvrt64.dll
  • wpespy.dll
  • vmcheck.dll
  • pstorec.dll
  • dir_watch.dll
  • api_log.dll
  • dbghelp.dll

ไบนารีของแรนซัมแวร์ BlackByte ยังใช้การทดสอบแบบเดียวกันนี้ด้วย , แต่เครื่องมือที่ใช้สำหรับการขโมยข้อมูลจำเป็นที่จะต้องเรียกใช้ได้อย่างอิสระ เนื่องจากการส่งข้อมูลออกไปจะเกิดขึ้นก่อนการเข้ารหัสไฟล์

หากการทดสอบไม่พบข้อมูลข้างต้น Exbyte จะระบุไฟล์เอกสารทั้งหมดบนระบบที่ถูกโจมตี และอัปโหลดไปยังโฟลเดอร์ที่สร้างขึ้นใหม่บน Mega โดยใช้ข้อมูลรับรองบัญชีแบบฮาร์ดโค้ดไว้

"Exbyte จะระบุไฟล์เอกสารทั้งหมดบนคอมพิวเตอร์เหยื่อ เช่น ไฟล์ .txt, .doc และ .pdf และบันทึกชื่อไฟล์ และ Path ทั้งหมดไปที่ %APPDATA%\dummy"

"ไฟล์ที่อยู่ในรายการจะถูกอัปโหลดไปยังโฟลเดอร์ที่มัลแวร์สร้างขึ้นบน Mega.co.nz ข้อมูลประจำตัวสำหรับบัญชี Mega ที่ใช้จะถูกฮาร์ดโค้ดลงใน Exbyte"

BlackByte เปิดตัวปฏิบัติการในฤดูร้อนปี 2021 และภายในเดือนกุมภาพันธ์ 2022 กลุ่มดังกล่าวได้โจมตีองค์กรภาครัฐ และเอกชนหลายแห่งในสหรัฐอเมริกา

นักวิเคราะห์ของ Symantec รายงานว่าการโจมตีล่าสุดของ BlackByte อาศัยการใช้ประโยชน์จากช่องโหว่ของ ProxyShell และ ProxyLogon ในปีที่แล้วบนเซิร์ฟเวอร์ Microsoft Exchange

นอกจากนี้ ผู้โจมตียังใช้เครื่องมือเช่น AdFind, AnyDesk, NetScan และ PowerView

การโจมตีล่าสุดที่ใช้แรนซัมแวร์เวอร์ชัน 2.0 โดยการลบ Kernel Notify Routines เพื่อเลี่ยงการป้องกันของ EDR ตามที่ Sophos วิเคราะห์ในรายงานเดือนตุลาคม

เช่นเดียวกับการโจมตีของแรนซัมแวร์อื่นๆ BlackByte จะลบ Volume Shadow Copy เพื่อป้องกันการกู้คืนข้อมูล นอกจากนี้ยังแก้ไขการตั้งค่าไฟร์วอลล์เพื่อเปิดการเชื่อมต่อจากระยะไกลทั้งหมด เพื่อที่จะทำการแฝงตัวใน "scvhost.exe"

ตามรายงานของ Intel 471 ที่เผยแพร่เมื่อวานนี้ ในไตรมาสที่ 3 ปี 2022 BlackByte กำหนดเป้าหมายไปยังองค์กรในแอฟริกาเป็นหลัก ซึ่งเป็นความตั้งใจที่จะหลีกเลี่ยงการบังคับใช้กฎหมายจากประเทศทางฟากตะวันตก

ที่มา: bleepingcomputer