Conti’nin ayrılıkçı gruplarından biri olduğuna inanılan fidye yazılımı hizmeti veren BlackByte, (bir kez daha) şifreleyicisinin yeni bir yinelemesini yarattı.
“Talos, yakın zamandaki BlackByte saldırılarında bazı farklılıklar gözlemledi. En dikkat çekeni, tüm kurbanlardaki şifrelenmiş dosyaların, henüz kamuya açık raporlarda yer almayan ‘blackbytent_h’ dosya uzantısıyla yeniden yazılmış olmasıydı,” Cisco’nun tehdit istihbarat ekibindeki araştırmacılar paylaştı.
“Şifreleyicinin bu yeni sürümü, BlackByte’ın her zamanki Kendi Savunmasız Sürücünüzü Getirin (BYOVD) tekniğinin bir parçası olarak dört savunmasız sürücüyü de kaldırıyor; bu, önceki raporlarda açıklanan iki veya üç sürücüden bir artış.”
Yeni TTP’ler
Cisco’nun olay müdahale ekiplerinin yakın zamanda soruşturmasına yardımcı olduğu saldırılarla ilgili bulgulara dayanarak, BlackByte’ın bazı iştiraklerinin grubun yerleşik ticari anlayışından farklı taktikler, teknikler ve prosedürler kullandığı açıktır.
Yeni şifreleyicinin kullanılmasının yanı sıra, iştirakçiler şunlar oldu:
- VMware ESXi’deki bir kimlik doğrulama atlama güvenlik açığı olan CVE-2024-37085’i kullanarak aynı anda birden fazla sanal makineyi şifrelemek
- AnyDesk gibi uzaktan yönetim araçlarını kullanmak yerine, mağdurların yetkilendirdiği uzaktan erişim mekanizmasını kullanmak
- Mağdur kuruluşların VPN’lerine erişmek için geçerli kimlik bilgilerinin kullanılması (büyük olasılıkla kaba kuvvet yoluyla keşfedildi)
Araştırmacılar, “BlackByte’ın ilk erişim için kamuya açık güvenlik açıklarını kullanma geçmişi göz önüne alındığında, uzaktan erişim için VPN kullanımı teknikte ufak bir değişiklik veya fırsatçılık anlamına gelebilir. Kurbanın VPN’inin uzaktan erişim için kullanılması, saldırgana kuruluşun EDR’sinden daha az görünürlük de dahil olmak üzere başka avantajlar da sağlar,” diye belirtti.
Saldırganlar, yanal hareket için Sunucu İleti Bloğu (SMB) ve Uzak Masaüstü Protokollerini (RDP) kullandılar ve kimlik doğrulama için NTLM karmalarını çalıp kötüye kullandılar.
“Fidye yazılımı ikili dosyasının dinamik analizi daha sonra bu dosya tarafından kimlik doğrulama için NTLM’nin tutarlı bir şekilde kullanıldığını da ortaya koydu. Yürütme rutininin yerel sistemde bir hizmet oluşturmayı ve kurban ortamından yakalanan Active Directory kimlik bilgilerini kullanarak diğer ağ sistemlerindeki ağ paylaşımlarını taramayı içerdiğini bulduk. Tam sistemden sisteme iletim yönteminin ayrıntılarına sahip değiliz, ancak bunun tarama işlemi sırasında keşfedilen SMB’den ağ paylaşımlarına doğru gerçekleşmesi çok muhtemeldir,” dedi araştırmacılar Help Net Security’ye.
“BlackByte’ın önceki kampanyalarda SMB/Windows Admin paylaşımları gibi uzak servisleri kullandığı biliniyordu. Yerel sistemdeki servis daha sonra kopyalanan ikiliyi ikiliye yerleştirilmiş kimlik bilgilerini kullanarak uzak sistemde yürütür.”
Önceki saldırılarda olduğu gibi, tehdit aktörleri güvenlik aracı yapılandırmalarını bozmak için sistem kayıt defterinde değişiklikler yaptı ve önemli sistemlerden EDR’leri manuel olarak kaldırdı.
Mağdurlar
BlackByte’ın veri sızıntısı sitesinde yayınlandığı üzere kurbanları ağırlıklı olarak imalat, inşaat ve ulaştırma/depolama sektöründeki işletmelerdir.
Ancak araştırmacılar, BlackByte mağdurlarının gerçek sayısının çok daha yüksek olduğunu düşünüyor.
Help Net Security’ye verdikleri demeçte, “Kurban gönderme oranının %20-30 olacağı tahminimiz, aynı dönemde telemetrimizde keşfettiğimiz saldırı sayısıyla BlackByte’ın veri sızıntısı sitesinde görülen kurban sayısının karşılaştırılması ve bu saldırılar arasında paylaşılan göstergelere göre hareket edilmesiyle oluşturulmuştur” dediler.
Bazı kurbanların veri sızıntısı sitesinde “ifşa” edilmesinin ve diğerlerinin ifşa edilmemesinin nedeni, “kurbanların veri sızıntısı sitesine gönderilmeden önce fidye ödemesi, saldırganın şifrelemeyle saldırılara odaklanması ancak kurbanın verilerini sızdırmaması, veri sızıntısı sitesini kullanma yetkisi olmayan bir RaaS iştiraki tarafından saldırılar gerçekleştirilmesi veya BlackByte’ın kurban gönderilerinde seçici davranarak daha düşük bir profil sergileme isteği” gibi çeşitli faktörlerin birleşimine bağlı olabilir.
Cisco araştırmacıları, en son BlackByte saldırılarıyla ilgili bulgulara dayanarak, savunmacılar için güncellenmiş önerilerin yanı sıra, saldırıların en son göstergelerini paylaştı.