美国联邦调查局(FBI)和特勤局(USSS)指出:在针对该国至少三个关键基础设施部门发起攻击过后,BlackByte 勒索软件团队又开始了兴风作浪。作为所谓的“勒索软件即服务”(RaaS),该团伙于 2021 年 7 月开始冒头,并针对全球企业发起了基于租赁制的勒索软件漏洞攻击。
图 1:JScript 执行流程(来自:Trustwave)
起初,BlackByte 对美国、欧洲、澳大利亚等地区的制造 / 医疗保健 / 建筑行业发起了攻击。
图 19:BlackByte 站点
几个月后,网络安全公司 Trustwave 发布了一款免费的解密工具,以帮助受害者恢复他们的文件。
图 2:经过处理和“美化”后的代码
鉴于该组织使用了相对简单的加密技术,一些人猜测 BlackByte 乃“业余爱好作品”。此外勒索软件会下载并执行相同的 AES 加密密钥,而不是给每个会话都分配唯一密钥。
图 3 - .NET 中的 DLL 文件
在消停了一阵子后,BlackByte 似乎又开始冒头。在周五发布的新警报中,FBI 与 USSS 声称:
图 4 - GOor.PVT5 文件解析
“该勒索软件团伙已危害多家美国和外国企业,且包括至少三起针对该国关键基础设施的攻击 —— 尤其是政府设施、金融服务、以及食品和农业行业”。
图 5 - CSCRIPT.EXE 脚本
新公告还分享了一些迹象指标,以帮助网络防御者识别 BlackByte 入侵。最新消息是,旧金山 49 人队也在超级碗前遭到了攻击,导致少量文件被盗。
图 6 - 解开后的 .NET 资源
EMSIsoft 勒索软件专家兼威胁分析师 Brett Callow 指出:尽管 BlackByte 不是最活跃的 RaaS,但其受害者数量在过去数月一直在稳步增加。
图 7 - 语言代码
欣慰的是,随着美国政府近期加大了对勒索软件攻击的打击力度,该团伙或许会变得相对收敛一些。