FBI與USSS警告BlackByte勒索軟件正在捲土重來
美國聯邦調查局(FBI)和特勤局(USSS)指出:在針對該國至少三個關鍵基礎設施部門發起攻擊過後,BlackByte 勒索軟件團隊又開始了興風作浪。作為所謂的“勒索軟件即服務”(RaaS),該團伙於2021 年7 月開始冒頭,並針對全球企業發起了基於租賃制的勒索軟件漏洞攻擊。
![](https://i0.wp.com/static.cnbetacdn.com/article/2022/0215/906ee7ce190a1a4.png?w=640&ssl=1)
圖1:JScript 執行流程(來自:Trustwave)
起初,BlackByte 對美國、歐洲、澳大利亞等地區的製造/ 醫療保健/ 建築行業發起了攻擊。
![19 網站.png](https://i0.wp.com/static.cnbetacdn.com/thumb/article/2022/0215/419c70adcdb9143.png?w=640&ssl=1)
圖19:BlackByte 站點
幾個月後,網絡安全公司Trustwave 發布了一款免費的解密工具,以幫助受害者恢復他們的文件。
![2 代碼.png](https://i0.wp.com/static.cnbetacdn.com/article/2022/0215/c453b81485e8338.png?w=640&ssl=1)
圖2:經過處理和“美化”後的代碼
鑑於該組織使用了相對簡單的加密技術,一些人猜測BlackByte 乃“業餘愛好作品”。此外勒索軟件會下載並執行相同的AES 加密密鑰,而不是給每個會話都分配唯一密鑰。
![3 動態鏈接庫.png](https://i0.wp.com/static.cnbetacdn.com/article/2022/0215/20efab142eb8e01.png?w=640&ssl=1)
圖3 – .NET 中的DLL 文件
在消停了一陣子後,BlackByte 似乎又開始冒頭。在周五發布的新警報中,FBI 與USSS 聲稱:
![4 GOor.PVT5.png](https://i0.wp.com/static.cnbetacdn.com/thumb/article/2022/0215/6e4c84162beee6c.png?w=640&ssl=1)
圖4 – GOor.PVT5 文件解析
“該勒索軟件團伙已危害多家美國和外國企業,且包括至少三起針對該國關鍵基礎設施的攻擊—— 尤其是政府設施、金融服務、以及食品和農業行業”。
![5 CSCRIPT.EXE.png](https://i0.wp.com/static.cnbetacdn.com/thumb/article/2022/0215/47d44ec7b930a5d.png?w=640&ssl=1)
圖5 – CSCRIPT.EXE 腳本
新公告還分享了一些跡象指標,以幫助網絡防御者識別BlackByte 入侵。最新消息是,舊金山49 人隊也在超級碗前遭到了攻擊,導致少量文件被盜。
![6 個解密的 .NET 程序集.png](https://i0.wp.com/static.cnbetacdn.com/thumb/article/2022/0215/f695429068b8be5.png?w=640&ssl=1)
圖6 – 解開後的.NET 資源
E MSI soft 勒索軟件專家兼威脅分析師Brett Callow 指出:儘管BlackByte 不是最活躍的RaaS,但其受害者數量在過去數月一直在穩步增加。
![7種語言代碼.png](https://i0.wp.com/static.cnbetacdn.com/thumb/article/2022/0215/abf075aa423e5e9.png?w=640&ssl=1)
圖7 – 語言代碼
欣慰的是,隨著美國政府近期加大了對勒索軟件攻擊的打擊力度,該團伙或許會變得相對收斂一些。