美國聯邦調查局(FBI)和特勤局(USSS)指出:在針對該國至少三個關鍵基礎設施部門發起攻擊過後,BlackByte 勒索軟體團隊又開始了興風作浪。作為所謂的“勒索軟體即服務”(RaaS),該團伙於 2021 年 7 月開始冒頭,並針對全球企業發起了基於租賃制的勒索軟體漏洞攻擊。
圖 1:JScript 執行流程(來自:Trustwave)
起初,BlackByte 對美國、歐洲、澳大利亞等地區的製造 / 醫療保健 / 建築行業發起了攻擊。
圖 19:BlackByte 站點
幾個月後,網路安全公司 Trustwave 釋出了一款免費的解密工具,以幫助受害者恢復他們的檔案。
圖 2:經過處理和“美化”後的程式碼
鑑於該組織使用了相對簡單的加密技術,一些人猜測 BlackByte 乃“業餘愛好作品”。此外勒索軟體會下載並執行相同的 AES 加密金鑰,而不是給每個會話都分配唯一金鑰。
圖 3 - .NET 中的 DLL 檔案
在消停了一陣子後,BlackByte 似乎又開始冒頭。在週五釋出的新警報中,FBI 與 USSS 聲稱:
圖 4 - GOor.PVT5 檔案解析
“該勒索軟體團伙已危害多家美國和外國企業,且包括至少三起針對該國關鍵基礎設施的攻擊 —— 尤其是政府設施、金融服務、以及食品和農業行業”。
圖 5 - CSCRIPT.EXE 指令碼
新公告還分享了一些跡象指標,以幫助網路防禦者識別 BlackByte 入侵。最新訊息是,舊金山 49 人隊也在超級碗前遭到了攻擊,導致少量檔案被盜。
圖 6 - 解開後的 .NET 資源
EMSIsoft 勒索軟體專家兼威脅分析師 Brett Callow 指出:儘管 BlackByte 不是最活躍的 RaaS,但其受害者數量在過去數月一直在穩步增加。
圖 7 - 語言程式碼
欣慰的是,隨著美國政府近期加大了對勒索軟體攻擊的打擊力度,該團伙或許會變得相對收斂一些。
