美國聯邦調查局(FBI)和特勤局(USSS)指出:在針對該國至少三個關鍵基礎設施部門發起攻擊過後,BlackByte 勒索軟件團隊又開始了興風作浪。作為所謂的“勒索軟件即服務”(RaaS),該團伙於 2021 年 7 月開始冒頭,並針對全球企業發起了基於租賃制的勒索軟件漏洞攻擊。
圖 1:JScript 執行流程(來自:Trustwave)
起初,BlackByte 對美國、歐洲、澳大利亞等地區的製造 / 醫療保健 / 建築行業發起了攻擊。
圖 19:BlackByte 站點
幾個月後,網絡安全公司 Trustwave 發布了一款免費的解密工具,以幫助受害者恢復他們的文件。
圖 2:經過處理和“美化”后的代碼
鑒於該組織使用了相對簡單的加密技術,一些人猜測 BlackByte 乃“業餘愛好作品”。此外勒索軟件會下載並執行相同的 AES 加密密鑰,而不是給每個會話都分配唯一密鑰。
圖 3 – .NET 中的 DLL 文件
在消停了一陣子后,BlackByte 似乎又開始冒頭。在周五發布的新警報中,FBI 與 USSS 聲稱:
圖 4 – GOor.PVT5 文件解析
“該勒索軟件團伙已危害多家美國和外國企業,且包括至少三起針對該國關鍵基礎設施的攻擊 —— 尤其是政府設施、金融服務、以及食品和農業行業”。
圖 5 – CSCRIPT.EXE 腳本
新公告還分享了一些跡象指標,以幫助網絡防禦者識別 BlackByte 入侵。最新消息是,舊金山 49 人隊也在超級碗前遭到了攻擊,導致少量文件被盜。
圖 6 – 解開后的 .NET 資源
EMSIsoft 勒索軟件專家兼威脅分析師 Brett Callow 指出:儘管 BlackByte 不是最活躍的 RaaS,但其受害者數量在過去數月一直在穩步增加。
圖 7 – 語言代碼
欣慰的是,隨着美國政府近期加大了對勒索軟件攻擊的打擊力度,該團伙或許會變得相對收斂一些。