Mientras muchos grupos de ransomware comparten todas sus 'hazañas' en sus sitios de filtraciones e incluso se atribuyen otras que no les corresponden también hay bandas que prefieren mantener un 'perfil bajo'. Esto es lo que podría haber ocurrido con BlackByte.
Según han podido observar los investigadores de Cisco Talos y comparten en un blo, esta marca de ransomware como servicio (RaaS) se habría mostrado en realidad más activa de lo que se presuponía anteriormente.
"El grupo ha sido significativamente más activo de lo que parece a partir del número de víctimas publicadas en su sitio de filtración de datos", señalan.
Talos sostiene que solo entre el 20% y el 30% de las víctimas de BlackByte se han compartido en este espacio.
La firma incida que su herramienta estándar se sigue usando, aunque incluye algunas modificaciones. En un caso reciente el acceso inicial se logró mediante un ataque de fuerza bruta a una cuenta que tenía un nombre convencional y una contraseña débil a través de la interfaz VPN.
El grupo de ransomware continúa aprovechando tácticas, técnicas y procedimientos (TTP) que han formado la base de su técnica desde sus inicios, iterando continuamente su uso de controladores vulnerables para eludir las protecciones de seguridad e implementando un cifrador de ransomware autopropagable y gusanoble.
En investigaciones recientes, Talos IR también ha observado que BlackByte utiliza técnicas que se alejan de su práctica habitual, como explotar CVE-2024-37085 (una vulnerabilidad de omisión de autenticación en VMware ESXi) poco después de que fuera revelada y utilizar un mecanismo de acceso remoto autorizado de la víctima en lugar de implementar una herramienta de administración remota comercial como AnyDesk.
Por otro lado, Talos IR observó una nueva iteración del cifrador BlackByte que agrega la extensión de archivo “blackbytent_h” a los archivos cifrados, elimina cuatro archivos de controlador vulnerables en comparación con los tres observados anteriormente y utiliza las credenciales de Active Directory de la víctima para autopropagarse.
¿Una escisión de Conti?
BlackByte es un grupo de ransomware como servicio (RaaS) que se cree que es una rama del infame grupo de ransomware Conti.
Observado por primera vez a mediados o fines de 2021, su estrategia comercial incluye el uso de controladores vulnerables para eludir los controles de seguridad, la implementación de ransomware autopropagado con capacidades similares a las de un gusano y el uso de binarios de sistema conocidos (LoLBins) y otras herramientas comerciales legítimas como parte de su cadena de ataque.
Hasta la fecha sus ataques se han centrado principalmente en servicios profesionales, científicos y técnicos (13%), de manufactura (13%) y educativos (13%).