站长之家 - 业界 2022-02-15 08:45

FBI与USSS警告BlackByte勒索软件正在卷土重来

美国联邦调查局(FBI)和特勤局(USSS)指出:在针对该国至少三个关键基础设施部门发起攻击过后,BlackByte 勒索软件团队又开始了兴风作浪。作为所谓的“勒索软件即服务”(RaaS),该团伙于 2021 年 7 月开始冒头,并针对全球企业发起了基于租赁制的勒索软件漏洞攻击。

图 1:JScript 执行流程(来自:Trustwave)

起初,BlackByte 对美国、欧洲、澳大利亚等地区的制造 / 医疗保健 / 建筑行业发起了攻击。

19 Site.png

图 19:BlackByte 站点

几个月后,网络安全公司 Trustwave 发布了一款免费的解密工具,以帮助受害者恢复他们的文件。

2 Code.png

图 2:经过处理和“美化”后的代码

鉴于该组织使用了相对简单的加密技术,一些人猜测 BlackByte 乃“业余爱好作品”。此外勒索软件会下载并执行相同的 AES 加密密钥,而不是给每个会话都分配唯一密钥。

3 DLL.png

图 3 - .NET 中的 DLL 文件

在消停了一阵子后,BlackByte 似乎又开始冒头。在周五发布的新警报中,FBI 与 USSS 声称:

4 GOor.PVT5.png

图 4 - GOor.PVT5 文件解析

“该勒索软件团伙已危害多家美国和外国企业,且包括至少三起针对该国关键基础设施的攻击 —— 尤其是政府设施、金融服务、以及食品和农业行业”。

5 CSCRIPT.EXE.png

图 5 - CSCRIPT.EXE 脚本

新公告还分享了一些迹象指标,以帮助网络防御者识别 BlackByte 入侵。最新消息是,旧金山 49 人队也在超级碗前遭到了攻击,导致少量文件被盗。

6 decrypted .NET assemblies.png

图 6 - 解开后的 .NET 资源

EMSIsoft 勒索软件专家兼威胁分析师 Brett Callow 指出:尽管 BlackByte 不是最活跃的 RaaS,但其受害者数量在过去数月一直在稳步增加。

7 language codes.png

图 7 - 语言代码

欣慰的是,随着美国政府近期加大了对勒索软件攻击的打击力度,该团伙或许会变得相对收敛一些。

推荐关键词

24小时热搜

查看更多内容

大家正在看