Indikatorer for kompromitteringer (IoC) forbundet med BlackByte ransomware

Af Henrik Jensen, 16/02/22

BlackByte er en Ransomware-as-a-Service-gruppe, der krypterer filer på kompromitterede Windowssystemer, både fysiske og virtuelle servere.

BlackByte efterlader en løsesumsnote i alle mapper, hvor kryptering forekommer.

Noten inkluderer en .onion-side (TOR), der indeholder instruktioner til betaling af løsesum og modtagelse af en dekrypteringsnøgle. Der rapporteres om brug kendte Microsoft Exchange Server-sårbarheder (bl.a. CVE-2022-21969, CVE-2022-21855 og CVE-2022-21846) som udnyttes til at få adgang til infrastrukturen.

Aktørerne implementerer tools, der gør dem i stad til, at foretage 'lateral movement' på netværket med det formål at eskalere privilegier før eksfiltrering og kryptering af filer.

Tidligere versioner af BlackByte ransomware downloadede en .png-fil fra IP-adresserne 185.93.6.31 og 45.9.148.114 før kryptering. En nyere version krypterer uden brug af eksterne IP-adresser.

Diverse IoC'er og mere baggrundsviden findes via linket nedenfor.

Links:

https://www.ic3.gov/Media/News/2022/220211.pdf

 

Keywords: 
BlackByte
RaaS
Microsoft Exchange
IoC