Af Henrik Jensen, 16/02/22
BlackByte efterlader en løsesumsnote i alle mapper, hvor kryptering forekommer.
Noten inkluderer en .onion-side (TOR), der indeholder instruktioner til betaling af løsesum og modtagelse af en dekrypteringsnøgle. Der rapporteres om brug kendte Microsoft Exchange Server-sårbarheder (bl.a. CVE-2022-21969, CVE-2022-21855 og CVE-2022-21846) som udnyttes til at få adgang til infrastrukturen.
Aktørerne implementerer tools, der gør dem i stad til, at foretage 'lateral movement' på netværket med det formål at eskalere privilegier før eksfiltrering og kryptering af filer.
Tidligere versioner af BlackByte ransomware downloadede en .png-fil fra IP-adresserne 185.93.6.31 og 45.9.148.114 før kryptering. En nyere version krypterer uden brug af eksterne IP-adresser.
Diverse IoC'er og mere baggrundsviden findes via linket nedenfor.
Links:
https://www.ic3.gov/Media/News/2022/220211.pdf