Durante una recente indagine, gli esperti del Microsoft Incident Response hanno ricostruito la catena di infezione che porta all’installazione di BlackByte 2.0, uno dei ransomware più pericolosi in assoluto. I cybercriminali sono riusciti ad eseguire una serie di attività in appena cinque giorni, sfruttando vari tool e tecniche.
BlackByte: analisi dettagliata
Nel caso analizzato da Microsoft, come altri in passato, l’accesso iniziale è avvenuto sfruttando le note vulnerabilità ProxyShell dei server Exchange. Dopo aver ottenuto privilegi elevati, i cybercriminali hanno installato una backdoor e aggiunto tre chiavi al registro di Windows.
La backdoor comunicava con il server C2 (command and control), al quale inviava varie informazioni sul sistema. La persistenza è stata ottenuta con Cobalt Strike e AnyDesk, un legittimo tool di accesso remoto. Altri due noti tool, ovvero NetScan e AdFind, sono stati usati per effettuare la scansione della rete interna e di Active Directory.
Dopo aver trovato le credenziali di amministratore con Mimikatz, i cybercriminali hanno usato Remote Desktop Protocol (RDP) e PowerShell per accedere ad altri server, tra cui i controller di dominio. Successivamente è stato installato ExByte, un tool che consente di cercare e rubare vari tipi di file. Infine è stato distribuito BlackByte 2.0.
Il ransomware può disattivare gli antivirus usando la tecnica BYOVD (Bring Your Own Vulnerable Driver), disattivare il firewall di Windows, cancellare le copie shadow dei volumi (per impedire il ripristino), modificare il registro, terminare servizi e processi.
Viene quindi effettuata la cifratura dei file, al termine della quale la vittima vedrà sullo schermo il file di testo con le istruzioni da seguire per contattare i cybercriminali e pagare il riscatto. Microsoft suggerisce di installare tutte le patch di sicurezza, usare un antivirus aggiornato e cambiare spesso le password. Sembrano consigli ovvi, ma molte aziende li ignorano.