กลุ่ม BlackByte ransomware มีการใช้งานเครื่องมือเวอร์ชันใหม่ในการขโมยข้อมูล ซึ่งเป็นเครื่องมือที่ถูกสร้างขึ้นเองชื่อว่า 'ExByte' เพื่อใช้ขโมยข้อมูลจากอุปกรณ์ Windows ที่ถูกโจมตีได้อย่างรวดเร็ว

การขโมยข้อมูลนี้เป็นส่วนหนึ่งของขั้นตอนที่สำคัญที่สุดในการโจมตีแบบ double-extortion โดย BleepingComputer ระบุว่าบริษัทต่างๆ จะยอมจ่ายค่าไถ่เพื่อป้องกันการรั่วไหลของข้อมูลมากกว่าการรับตัวถอดรหัส

ด้วยเหตุนี้ทำให้การทำงานของกลุ่มแรนซัมแวร์ รวมถึง ALPHV และ LockBit มีการพัฒนาอย่างต่อเนื่องเพื่อปรับปรุงเครื่องมือที่ใช้สำหรับขโมยข้อมูล

กลุ่มแฮ็กเกอร์อื่น ๆ เช่น Karakurt ไม่สนใจกับการเข้ารหัสในเครื่อง โดยจะมุ่งเน้นในการโจมตีเพื่อขโมยข้อมูลเท่านั้น

เครื่องมือที่ใช้สำหรับการขโมยข้อมูล Exbyte

Exbyte ถูกพบโดยนักวิจัยด้านความปลอดภัยที่ Symantec ซึ่งระบุว่าผู้โจมตีใช้เครื่องมือในการขโมยข้อมูลแบบ Go-based เพื่ออัปโหลดไฟล์ที่ถูกขโมยโดยตรงไปยังบริการจัดเก็บข้อมูลระบบคลาวด์ของ Mega

เมื่อเริ่มดำเนินการ เครื่องมือจะทำการตรวจสอบการป้องกันการวิเคราะห์ เพื่อตรวจสอบการทำงานว่าอยู่ใน SANDBOX หรือไม่ และตรวจหาโปรแกรม debuggers และกระบวนการป้องกันมัลแวร์

processes ที่ Exbyte จะทำการตรวจสอบ คือ:

MegaDumper 1.0 by CodeCracker / SnD
Import reconstructor
x64dbg
x32dbg
OLLYDBG
WinDbg
The Interactive Disassembler
Immunity Debugger – [CPU]

นอกจากนี้ มัลแวร์ยังตรวจสอบการมีอยู่ของไฟล์ DLL ต่อไปนี้:

avghooka.