美國聯邦調查局（FBI）和特勤局（USSS）指出：在針對該國至少三個關鍵基礎設施部門發起攻擊過後，BlackByte 勒索軟件團隊又開始了興風作浪。作為所謂的“勒索軟件即服務”（RaaS），該團伙於2021 年7 月開始冒頭，並針對全球企業發起了基於租賃制的勒索軟件漏洞攻擊。

圖1：JScript 執行流程（來自：Trustwave）

起初，BlackByte 對美國、歐洲、澳大利亞等地區的製造/ 醫療保健/ 建築行業發起了攻擊。

圖19：BlackByte 站點

幾個月後，網絡安全公司Trustwave 發布了一款免費的解密工具，以幫助受害者恢復他們的文件。

圖2：經過處理和“美化”後的代碼

鑑於該組織使用了相對簡單的加密技術，一些人猜測BlackByte 乃“業餘愛好作品”。此外勒索軟件會下載並執行相同的AES 加密密鑰，而不是給每個會話都分配唯一密鑰。

圖3 – .NET 中的DLL 文件

在消停了一陣子後，BlackByte 似乎又開始冒頭。在周五發布的新警報中，FBI 與USSS 聲稱：

圖4 – GOor.PVT5 文件解析

“該勒索軟件團伙已危害多家美國和外國企業，且包括至少三起針對該國關鍵基礎設施的攻擊—— 尤其是政府設施、金融服務、以及食品和農業行業”。

圖5 – CSCRIPT.EXE 腳本

新公告還分享了一些跡象指標，以幫助網絡防御者識別BlackByte 入侵。最新消息是，舊金山49 人隊也在超級碗前遭到了攻擊，導致少量文件被盜。

圖6 – 解開後的.NET 資源

E MSI soft 勒索軟件專家兼威脅分析師Brett Callow 指出：儘管BlackByte 不是最活躍的RaaS，但其受害者數量在過去數月一直在穩步增加。

圖7 – 語言代碼

欣慰的是，隨著美國政府近期加大了對勒索軟件攻擊的打擊力度，該團伙或許會變得相對收斂一些。