Bir BlackByte fidye yazılımı iştiraki, güvenliği ihlal edilmiş Windows cihazlarından hızla veri çalmak için ‘ExByte’ adlı yeni bir özel veri çalma aracı kullanıyor.
BleepingComputer, şirketlerin bir şifre çözücü almaktan ziyade veri sızıntısını önlemek için fidye taleplerini daha sık ödediğini söyledi.
Bu nedenle, fidye yazılımı işlemleri de dahil olmak üzere ALPHV ve Kilit Bitisürekli olarak veri hırsızlığı araçlarını geliştirmek için çalışıyorlar.
Aynı zamanda, diğer tehdit aktörleri, örneğin Karakurtyalnızca veri hırsızlığına odaklanarak yerel kopyaları şifrelemekle bile uğraşmayın.
Exbyte veri hırsızlığı aracı
Exbyte, tehdit aktörlerinin çalınan dosyaları doğrudan Mega bulut depolama hizmetine yüklemek için Go tabanlı sızma aracını kullandığını söyleyen Symantec’teki güvenlik araştırmacıları tarafından keşfedildi.
Çalıştırıldıktan sonra araç, korumalı bir ortamda çalışıp çalışmadığını belirlemek için analiz önleme denetimleri gerçekleştirir ve hata ayıklayıcıları ve virüsten koruma işlemlerini denetler.
Exbyte kontrolleri süreçleri şunlardır:
- CodeCracker / SnD tarafından MegaDumper 1.0
- Yeniden yapılandırıcıyı içe aktar
- x64dbg
- x32dbg
- OLLYDBG
- WinDbg
- Etkileşimli Parçalayıcı
- Bağışıklık Hata Ayıklayıcı – [CPU]
Ayrıca, kötü amaçlı yazılım aşağıdaki DLL dosyalarının varlığını kontrol eder:
- avghooka.dll
- avghook.dll
- sxin.dll
- sf2.dll
- spiedll.dll
- snxhk.dll
- cmdvrt32.dll
- cmdvrt64.dll
- wpespy.dll
- vmcheck.dll
- pstorec.dll
- dir_watch.dll
- api_log.dll
- dbghelp.dll
BlackByte fidye yazılımı ikili programı da aynı testleri uygular, ancak veri hırsızlığı dosya şifrelemeden önce gerçekleştiğinden, sızıntı aracının bunları bağımsız olarak çalıştırması gerekir.
Testler temizse, Exbyte, ihlal edilen sistemdeki tüm belge dosyalarını numaralandırır ve bunları sabit kodlanmış hesap kimlik bilgilerini kullanarak Mega’da yeni oluşturulan bir klasöre yükler.
Symantec’in raporunda, “Ardından Exbyte, virüslü bilgisayardaki .txt, .doc ve .pdf dosyaları gibi tüm belge dosyalarını numaralandırır ve tam yolu ve dosya adını %APPDATA%\dummy klasörüne kaydeder” diye açıklıyor.
“Listelenen dosyalar daha sonra kötü amaçlı yazılımın Mega.co.nz’de oluşturduğu bir klasöre yüklenir. Kullanılan Mega hesabın kimlik bilgileri Exbyte’a sabit kodlanmıştır.”
BlackByte hala güçlü
BlackByte faaliyetlerine başladı 2021 yazıve Şubat 2022’ye kadar çete, aşağıdakiler de dahil olmak üzere birçok özel ve kamu kuruluşuna sızmıştı. Amerika Birleşik Devletleri’nde kritik altyapı.
Symantec analistleri, son BlackByte saldırılarının Microsoft Exchange sunucularında geçen yılki ProxyShell ve ProxyLogon kusur kümelerinden yararlanmaya dayandığını bildiriyor.
Ayrıca, davetsiz misafirler yanal olarak hareket etmek için AdFind, AnyDesk, NetScan ve PowerView gibi araçları kullanır.
Son saldırılar sürüm 2.0 Sophos’un analiz ettiği gibi, EDR korumalarını atlamak için Çekirdek Bildirim Rutinlerini kaldırarak fidye yazılımının Ekim raporu.
Diğer fidye yazılımı işlemleri gibi, BlackByte kolay veri geri yüklemesini önlemek için birim gölge kopyalarını siler, tüm uzak bağlantıları açmak için güvenlik duvarı ayarlarını değiştirir ve sonunda şifreleme aşaması için kendisini bir “scvhost.exe” örneğine enjekte eder.
Dün yayınlanan bir Intel 471 raporuna göre, 2022’nin 3. çeyreğinde, BlackByte, Batı yasalarını kışkırtmaktan kaçınmak için öncelikle Afrika’daki kuruluşları hedef aldı.