Adaptación del articulo “Ransomware Spotlight: BlackByte” https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-blackbyte

Español — FBIBlackByte debutó en julio de 2021. Su primer año de actividad atrajo la atención de la Oficina Federal de Investigación (FBI) y del Servicio Secreto de Estados Unidos (USS). Según un aviso conjunto de estas dos agencias gubernamentales, BlackByte ya había atacado al menos tres sectores de infraestructuras críticas de Estados Unidos (instalaciones gubernamentales, financieras y agroalimentarias) en noviembre de 2021.

Este aviso muestra cómo BlackByte se estaba estableciendo activamente como una nueva variante de ransomware digna de mención. En octubre de 2021, Trustwave publicó un desencriptador disponible públicamente para BlackByte. Sin embargo, esto lo detuvo, ya que los desarrolladores lanzaron nuevas versiones que utilizaban múltiples claves y aumentaron las operaciones. Se cree que su aparición podría formar parte de un plan más amplio, pues con el supuesto cierre de Conti, los investigadores de AdvIntel conjeturan que BlackByte es una de las principales nuevas variantes de ransomware que forman parte de su cambio de marca.

En la actualidad, BlackByte sigue teniendo como objetivo organizaciones de todo el mundo. Sin embargo, al igual que LockBit, RansomEXX y muchas otras familias de ransomware, BlackByte evita atacar a entidades con sede en Rusia.

¿Qué deben saber las organizaciones sobre BlackByte?

Aunque los operadores de BlackByte utilizan su ransomware en ataques para su propio beneficio, también funcionan con un modelo de ransomware como servicio (RaaS) para sus afiliados. Aquí hemos enumerado los aspectos más destacados de BlackByte:

  • Las versiones iniciales utilizaban claves simétricas: La primera variante de BlackByte utilizaba la misma clave en cada campaña para cifrar los archivos. También utilizaba AES, un algoritmo de clave simétrica. Esto permitió a los investigadores crear un descifrador para ayudar a las víctimas de BlackByte, lo que obligó al grupo a cambiar su método de cifrado en las nuevas variantes.
  • Tiene múltiples variantes: La primera versión conocida de BlackByte se escribió en C#. Posteriormente, los operadores lanzaron dos variantes basadas en Go. La variante más reciente, basada en Go, se introdujo alrededor de febrero de 2022 y presentaba modificaciones, especialmente en su algoritmo de cifrado.
  • Archiva los archivos usando WinRAR: En las campañas de BlackByte la exfiltración de datos se realiza antes de que se despliegue el ransomware. Esto se debe a que el ransomware BlackByte es incapaz de exfiltrar datos, en su lugar archiva los archivos usando WinRAR y luego los sube a sitios de intercambio.
  • Utiliza herramientas legítimas troyanizadas: Al igual que la mayoría de las variantes modernas de ransomware, BlackByte utiliza binarios vivos. Por ejemplo, utiliza la herramienta remota AnyDesk para obtener más control sobre un sistema y para el movimiento lateral.
  • Involucra correos electrónicos de phishing o una vulnerabilidad conocida de ProxyShell para el acceso inicial: Se sabe que BlackByte utiliza correos electrónicos de phishing o explota una vulnerabilidad ProxyShell no parcheada en los servidores Microsoft Exchange para obtener el acceso inicial a un sistema.

La trayectoria de BlackByte parece apuntar a una actividad continua. De hecho, los informes de mayo del 2022 indican que este se encuentra entre las operaciones de ransomware que han puesto sus ojos en los gobiernos latinoamericanos.

Técnicas y Cadena de Infección

A continuación se presenta la cadena de Infección de BlackByte, sin embargo, debe tenerse en cuenta que dado a que opera en el modelo RaaS, su cadena de infección puede variar en función del objetivo.

Recomendaciones

En el caso de BlackByte, conocer sus tácticas más destacadas y mantenerse al tanto de las tendencias más importantes puede ayudar a las organizaciones a crear una estrategia eficaz para los ataques de ransomware. A parte, la prevención es clave, manteniendo a los empleados atentos a las tácticas de phishing y manteniéndose al día tanto con los parches de seguridad, como con los de las vulnerabilidades de ProxyShell.

Para ayudar a defender los sistemas contra amenazas similares, las organizaciones pueden establecer marcos de seguridad que puedan asignar recursos de forma sistemática para establecer defensas sólidas contra el ransomware.

A continuación, se presentan algunas de las mejores prácticas que pueden incluirse en estos marcos:

Auditoría e inventario

  • Realice un inventario de activos y datos
  • Identifique los dispositivos y el software autorizados y no autorizados
  • Realice una auditoría de los registros de eventos e incidentes

Configurar y supervisar

  • Gestione las configuraciones de hardware y software
  • Conceda privilegios de administrador y acceso sólo cuando sea necesario para la función de un empleado
  • Supervise los puertos, protocolos y servicios de la red
  • Active las configuraciones de seguridad en los dispositivos de la infraestructura de red, como cortafuegos y routers
  • Establezca una lista de software permitido que sólo ejecute aplicaciones legítimas

Parches y actualizaciones

  • Realice evaluaciones periódicas de la vulnerabilidad
  • Realice parches o parches virtuales para los sistemas operativos y las aplicaciones
  • Actualice el software y las aplicaciones a sus últimas versiones

Proteger y recuperar

  • Implante medidas de protección, copia de seguridad y recuperación de datos
  • Habilite la autenticación multifactor (MFA)

Proteja y defienda

  • Emplee el análisis sandbox para bloquear los correos electrónicos maliciosos
  • Implemente las últimas versiones de las soluciones de seguridad en todas las capas del sistema, incluyendo correo electrónico, endpoint, web y red
  • Detecte los primeros signos de un ataque, como la presencia de herramientas sospechosas en el sistema
  • Utilice tecnologías de detección avanzadas, como las basadas en la IA y Machine Learning

Capacitar y comprobar

  • Forme y evalúe periódicamente los conocimientos de seguridad de los empleados
  • Realice ejercicios red-team y pruebas de penetración

Qué es un antivirus y un antimalware: principales diferencias

Un enfoque multicapa puede ayudar a las organizaciones a proteger los posibles puntos de entrada en el sistema (endpoint, correo electrónico, web y red). Las soluciones de seguridad que pueden detectar componentes maliciosos y comportamientos sospechosos también pueden ayudar a proteger a las empresas, a continuación presentamos algunas alternativas de TrendMicro.

  • Trend Micro Vision One™: proporciona protección multicapa y detección de comportamientos, lo que ayuda a bloquear comportamientos y herramientas cuestionables en una fase temprana antes de que el ransomware pueda causar daños irreversibles en el sistema.
  • Trend Micro Cloud One™ Workload Security: protege los sistemas contra las amenazas conocidas y desconocidas que aprovechan las vulnerabilidades. Esta protección es posible gracias a técnicas como la aplicación de parches virtuales y el Machine Learning.
  • Trend Micro™ Deep Discovery™ Email Inspector: emplea un sandboxing personalizado y técnicas de análisis avanzadas para bloquear eficazmente los correos electrónicos maliciosos, incluidos los de phishing que pueden servir como puntos de entrada para el ransomware.
  • Trend Micro Apex One™: ofrece una detección de amenazas automatizada de siguiente nivel y una respuesta contra problemas avanzados como las amenazas sin archivos y el ransomware, garantizando la protección de los endpoints.
  • Lumu Defender: esta solución se encarga de reunir, normalizar y analizar un amplio rango de metadata, incluyendo DNS, Netflows, registros de acceso a proxys, firewalls y Spambox. El nivel de visibilidad que brinda Lumu a partir del análisis de estas fuentes de datos, permite entender el comportamiento de la red de su empresa y obtener evidencia su nivel único de compromiso.

———————————————————————————————–