Blog Widefense

[COMUNICADO DE SEGURIDAD]: Ransomware BlackByte

Escrito por Marcelo Carvajal | 13-oct-21

 

 En los últimos días se han observado ataques en la región del Ransomware BlackByte. El malware tiene como objetivo infectar las computadoras de los usuarios de forma sigilosa y luego bloquear los archivos almacenados con un algoritmo que utiliza técnicas avanzadas de infección y métodos de cifrado de archivos imposible de descifrar. Posteriormente, los atacantes extorsionan a sus víctimas por dinero a cambio de la clave de descifrado específica y la herramienta de software que podría restaurar los archivos.

 
El BlackByte Ransomware como parte de su funcionalidad base también modifica los nombres originales de los archivos bloqueados agregando ‘.blackbyte’ como una nueva extensión. La amenaza deja una nota de rescate con instrucciones contenidas dentro de un archivo llamado ‘BlackByte_restoremyfiles.hta’.
 

En la mayoría de los casos, los usuarios de la web se infectan con ransomware al hacer click en un anuncio comprometido, un enlace web infectado o un mensaje de spam incompleto.  

Con la finalidad de mantenerlos actualizados con respecto a esta amenaza, entregaremos novedades en función de la nueva información que se vaya generando sobre esta amenaza.

 
Widefense – Medidas de refuerzo
  Informamos que han sido cargados los indicadores de compromiso obtenidos de diferentes medios a las plataformas de seguridad administradas.

Adicionalmente nuestra área de Detección y Respuesta ha adoptado las siguientes medidas:

  • Investigación constante de nuevos indicadores de compromiso que tengan relación con esta amenaza; realizando la carga preventiva. Cabe mencionar que esta acción se realiza en forma paralela a disponer de la validación de los fabricantes respecto a la detección de la amenaza, con el objetivo de anticiparnos a situaciones de potencial riesgo.
  • Se ha reforzado la detección de eventos de correlación que estén asociados a propagación de una amenaza y/o incremento de detecciones.
  • Mantenemos reglas personalizadas que correlacionan los eventos con el objetivo de detectar posible actividad relacionada a ransomware.
  • Refuerzo del monitoreo de actividades sospechosas sobre las conexiones a los puertos TCP/UDP 135 y 445.

 

Prácticas recomendadas para prevenir y mitigar ransomware

Recomendamos a todos nuestros clientes generar y/o mantener las buenas prácticas recomendadas frente a este tipo de ataques:

  • Realice copias de seguridad periódicas y proteja con contraseña las copias de seguridad.
  • Implemente un plan de recuperación para mantener y retener múltiples copias de servidores y datos confidenciales o privados en una ubicación segura y físicamente separada.
  • Centrarse en la sensibilización y la formación del usuario final, dado que son el objetivo de los atacantes. Además, brinde capacitación a los usuarios sobre los principios y técnicas de seguridad de la información, así como los riesgos y vulnerabilidades de seguridad cibernética emergentes generales.
  • Asegúrese de que los usuarios sepan a quién contactar cuando detecten una actividad sospechosa o cuando crean que han sido víctimas de un ciberataque. Esto garantizará que la estrategia de mitigación establecida se pueda emplear de manera rápida y eficiente.

Indicadores de Compromiso conocidos hasta el momento

Main object – obamka.js

sha256 884e96a75dc568075e845ccac2d4b4ccec68017e6ef258c7c03da8c88a597534
sha1 7273bf0db30a12428f7046ef99ebe3e7472cdfbe
md5 eef977108c7a7aef512532cc6e2f49cc
Dropped executable file
sha256 C:\Users\admin\AppData\Local\Temp\svfuyzqv.dll 9b051f0ed73a9f73d2a5e1541390d3abd7377491433fa8ddc72b3ee82f381bc5

IP 45.9.148.114

Requests HTTP/HTTPS

Ver post completo