Los ciberdelincuentes a cargo del ransomware BlackByte han hecho grandes esfuerzos para asegurarse de que la infección esté prácticamente garantizada una vez que ingresa en una red. Frente a esta amenaza, se vuelve fundamental que las empresas aprendan a identificar las debilidades dentro de sus sistemas de ciberseguridad.
BlackByte utiliza varias medidas evasivas para sortear las defensas conocidas contra el ransomware, incluyendo también las que se realizaron de manera particular para la versión obsoleta de 2019. Para complejizar la situación, esta forma de ransomware ya se transformó una vez, por lo que es evidentemente capaz de mejorar su software para hacerlo más potente y obtener más rescates.
Principales características de BlackByte
BlackByte tiene múltiples variantes, su primera versión fue escrita en C# y luego se lanzaron 2 variantes basadas en Go. La más reciente se introdujo alrededor de febrero de 2022 y presentaba modificaciones principalmente en su algoritmo de cifrado.
Dentro de las campañas de BlackByte, de haber filtración de datos se realiza antes de que se implemente el ransomware. Este archiva los archivos con WinRAR y luego carga el archivo en los sitios para compartir, debido a que no está programado para filtrar datos.
Dentro de su modo de operación, utiliza herramientas legítimas troyanizadas, como es el caso de la herramienta remota AnyDesk, para así obtener mayor control sobre un sistema.
En todo este contexto es relevante enfocarse en cómo reducir los riesgos, este ataque involucra tanto correos electrónicos de phishing como una vulnerabilidad ProxyShell, sin parches en los servidores de Microsoft Exchange para obtener acceso inicial a un sistema.
Recomendaciones
- La principal recomendación es la prevención a través de instalación actualizaciones y parches de sistemas operativos, software y firmware tan pronto como se publiquen. En particular, se destaca actualizar los parches para las siguientes vulnerabilidades:
- Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización.
- Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional, lo que permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
- Nunca seguir la instrucción de deshabilitar las funciones de seguridad si un correo electrónico o documento lo solicita.
- Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
- Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
- Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto, podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
- Implementar segmentación de red, evitando que se pueda acceder a todas las máquinas de la red desde cualquier otra máquina.
- Revisar los controladores de dominio, servidores, estaciones de trabajo y directorios para generar alertas por cuentas de usuario nuevas o no reconocidas.
- Auditar las cuentas de usuario con privilegios de administrador y configurar los controles de acceso teniendo en cuenta los privilegios mínimos necesarios. No otorgar privilegios de administrador a todos los usuarios.
- Deshabilitar los puertos de acceso remoto (RDP) no utilizados y controlar los registros de acceso remoto para detectar cualquier actividad inusual.
- Deshabilitar los hipervínculos en los correos electrónicos recibidos.
- Utilizar factores de doble autenticación al iniciar sesión en cuentas o servicios.
Por otra parte, la principal acción que se pueden tomar frente a este tipo de ataques es capacitar a los colaboradores con programas online de educación para que sean parte activa de la protección de la organización.
A continuación se presentan parte de los datos hash asociados a este ataque para que puedan ser cargados a las distintas plataformas de seguridad de las organizaciones:
- 62ff0a5549714ae5eb96cc23f73477139defc5fa6dcd3aa73f82e3e2a3d17e6f
- 15178f142df436775b777fcfd45c45012e3b96015a0d88c91d59f0fd5e79251f
- 796531b6bc24d389750d5db0dc3596456b7f050d3bac280f31563ae362e9f120
- 02a0a39dbe0dcb5600f4179aeab457bb86965699e45d1d154082b02139dc701d
Fuentes
https://security.packt.com/blackbyte-examining-the-malwares-ttps/
https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1400/
https://unit42.paloaltonetworks.com/blackbyte-ransomware/
https://valhalla.nextron-systems.com/info/rule/MAL_RANSOM_BlackByteNT_Feb23