Шифровальщик BlackByte тоже научился воровать документы из сети
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Шифровальщик BlackByte тоже научился воровать документы из сети

Татьяна Никитина 22 Октября 2022 - 18:27
...
Шифровальщик BlackByte тоже научился воровать документы из сети

Авторы атак с участием BlackByte начали использовать новый кастомный инструмент — Exbyte. В Symantec изучили новинку и выяснили, что она позволяет выгружать данные из Windows-систем на удаленный сервер и столь же умело уклоняется от анализа, как и сам шифровальщик.

Операторы вымогательских программ обычно прибегают к эксфильтрации данных в рамках схем двойного шантажа — чтобы угрожать публикацией в случае неуплаты выкупа за дешифратор. Кибергруппа, стоящая за BlackByte, создала с этой целью сайт еще в прошлом году, однако кражи информации из сетей, зараженных зловредом, на тот момент замечено не было.

Теперь, согласно Symantec, у злоумышленников появился необходимый инструмент; его использует как минимум один аффилиат RaaS-сервиса на основе BlackByte. Анализ показал, что Exbyte написан на Go и выводит краденые файлы в облачное хранилище MEGA.

При запуске вредонос выполняет ряд проверок, чтобы предотвратить анализ кода: вызывает функции IsDebuggerPresent и CheckRemoteDebuggerPresent, ищет процессы и DLL-файлы, ассоциируемые с песочницами и антивирусами. Такие же тесты, по словам экспертов, проводит BlackByte, но уже после вывода данных.

Если среда исполнения оказывается приемлемой, Exbyte перечисляет все документы в системе (.txt, .doc, .pdf и т. п.) и сохраняет список в %APPDATA%\dummy. Сами файлы зловред выгружает на Mega.co.nz, создавая папку и используя вшитые в код учетные данные.

В недавних атаках BlackByte, попавших в поле зрения Symantec, хакеры использовали уязвимости ProxyShell и ProxyLogon, а для горизонтального перемещения по сети — AdFind, AnyDesk, NetScan и PowerView. Внедряемый шифровальщик версии 2.0 пытался отключить драйверы режима ядра, используемые EDR, удалить теневые копии Windows, открыть удаленный доступ через настройки брандмауэра и выполнить основную задачу, работая в памяти scvhost.exe.

Аналитики не преминули отметить, что Exbyte — не единственный кастомный инструмент вывода данных. В прошлом году были обнаружены Exmatter, привлекший внимание BlackCat, и StealBit; аналогичный инфостилер некогда использовал также Ryuk.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Неподтвержденная утечка в Huawei: украдены исходники и секреты разработки
Татьяна Никитина 07 Октября 2025 - 18:26
Утечки информацииУмышленные утечки информацииКража данных Корпорации Huawei
Неподтвержденная утечка в Huawei: украдены исходники и секреты разработки

Злоумышленники утверждают, что взломали системы Huawei Technologies и получили доступ к исходным кодам софта и инструментам разработки. Информация, якобы украденная у производителя телеком-оборудования, выставлена на продажу.

Какие именно внутренние данные удалось заполучить и в каком объеме, продавец не уточнил.

Эксперты проверяют информацию об утечке (авторам атак свойственно бахвальство на пустом месте, ради славы). Официальных заявлений самой Huawei по этому поводу пока нет.

 

Если кража со взломом подтвердится, инцидент нанесет ощутимый урон репутации техногиганта и создаст дополнительные риски для его глобальной клиентуры.

Утечка исходников способна раскрыть уязвимости софта, проприетарные алгоритмы и механизмы безопасности. Подобную информацию можно использовать для проведения целевых атак.

Корпоративным пользователям продуктов Huawei рекомендуется усилить мониторинг сетей на предмет аномальной активности и удостовериться в том, что наличная защита четко реагирует на IoC, причиной появления которых может оказаться инцидент у поставщика.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Две 0-day и 81 баг: вышли сентябрьские патчи Microsoft
Новость
Две 0-day и 81 баг: вышли сентябрьские патчи Microsoft
BI.ZONE Mail Security получила ускорение в 3 раза и ИИ-анализ писем
Новость
BI.ZONE Mail Security получила ускорение в 3 раза и ИИ-анали...
BI.ZONE GRC получила умную фильтрацию уязвимостей и новые отчёты
Новость
BI.ZONE GRC получила умную фильтрацию уязвимостей и новые от...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.