Cibergrupo BlackByte deverá ser mais ativo do que site sugere

Uma investigação recente da Cisco Talos observou que o cibergrupo de ransomware BlackByte é “significativamente mais ativo do que o número de vítimas que publica no seu site de data leaks”. A Talos acredita, ainda que não consiga explicar, que apenas 30% das vítimas são publicadas.

A investigação observou que o BlackByte tem utilizado novas técnicas para além das técnicas standard TTP anteriormente notadas. A investigação e a correlação com novas instâncias com a telemetria existente levou a equipa a acreditar que o cibergrupo é mais ativo do que o assumido.

A investigação da Talos revela o uso contínuo das ferramentas padrão do BlackByte, mas com algumas novas alterações. Num caso recente, a entrada inicial foi conseguida através de força bruta numa conta que tinha um nome convencional e uma palavra-passe fraca através da interface de VPN. Isto pode representar oportunismo ou uma ligeira alteração técnica, uma vez que a rota oferece vantagens adicionais, incluindo uma visibilidade reduzida do EDR da vítima.

Depois de ter conseguido entrar, o atacante comprometeu duas contas de nível de administrador de domínios, acedeu ao servidor VMware vCenter e criou objetos de domínio na AD para hypervisors ESXi, acrescentando estes hosts aos domínios.

A Talos acredita que este grupo de utilizadores foi criado para explorar a vulnerabilidade de desvio de autenticação CVE-2024-37085 que tem sido utilizada por vários grupos. A BlackByte já tinha explorado esta vulnerabilidade, tal como outras, poucos dias após a sua publicação.