BlackByte: analisi approfondita del ransomware

BlackByte: analisi approfondita del ransomware

Microsoft ha descritto i tool usati per accedere alle reti aziendali e la catena di infezione che porta all'installazione del ransomware BlackByte.
BlackByte: analisi approfondita del ransomware
Microsoft ha descritto i tool usati per accedere alle reti aziendali e la catena di infezione che porta all'installazione del ransomware BlackByte.

Durante una recente indagine, gli esperti del Microsoft Incident Response hanno ricostruito la catena di infezione che porta all’installazione di BlackByte 2.0, uno dei ransomware più pericolosi in assoluto. I cybercriminali sono riusciti ad eseguire una serie di attività in appena cinque giorni, sfruttando vari tool e tecniche.

BlackByte: analisi dettagliata

Nel caso analizzato da Microsoft, come altri in passato, l’accesso iniziale è avvenuto sfruttando le note vulnerabilità ProxyShell dei server Exchange. Dopo aver ottenuto privilegi elevati, i cybercriminali hanno installato una backdoor e aggiunto tre chiavi al registro di Windows.

La backdoor comunicava con il server C2 (command and control), al quale inviava varie informazioni sul sistema. La persistenza è stata ottenuta con Cobalt Strike e AnyDesk, un legittimo tool di accesso remoto. Altri due noti tool, ovvero NetScan e AdFind, sono stati usati per effettuare la scansione della rete interna e di Active Directory.

Dopo aver trovato le credenziali di amministratore con Mimikatz, i cybercriminali hanno usato Remote Desktop Protocol (RDP) e PowerShell per accedere ad altri server, tra cui i controller di dominio. Successivamente è stato installato ExByte, un tool che consente di cercare e rubare vari tipi di file. Infine è stato distribuito BlackByte 2.0.

Il ransomware può disattivare gli antivirus usando la tecnica BYOVD (Bring Your Own Vulnerable Driver), disattivare il firewall di Windows, cancellare le copie shadow dei volumi (per impedire il ripristino), modificare il registro, terminare servizi e processi.

Viene quindi effettuata la cifratura dei file, al termine della quale la vittima vedrà sullo schermo il file di testo con le istruzioni da seguire per contattare i cybercriminali e pagare il riscatto. Microsoft suggerisce di installare tutte le patch di sicurezza, usare un antivirus aggiornato e cambiare spesso le password. Sembrano consigli ovvi, ma molte aziende li ignorano.

Fonte: Microsoft
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 7 lug 2023
Link copiato negli appunti