Кибервымогательская группировка BlackByte взламывает корпоративные сети через уязвимости ProxyShell в серверах Microsoft Exchange.
ProxyShell – название связки из трех уязвимостей в Microsoft Exchange, совокупная эксплуатация которых позволяет удаленно выполнить на сервере произвольный код без авторизации. Уязвимости были исправлены в апреле и мае 2021 года:
CVE-2021-34473 – обход списка обхода доступа (Access Control List, ACL Bypass). Исправлена в апреле 2021 года в обновлении KB5001779;
CVE-2021-34523 – повышение привилегий в Exchange PowerShell Backend. Исправлена в апреле 2021 года в обновлении KB5001779;
CVE-2021-31207 – удаленное выполнение кода. Исправлена в мае 2021 года в обновлении KB5003435.
Исследователи безопасности компании Red Canary проанализировали атаки BlackByte и обнаружили, что они осуществляются через ProxyShell путем установки на серверы web-оболочек. С помощью web-оболочек злоумышленники загружают на атакуемый сервер бикон Cobalt Strike, внедренный в процесс Windows Update Agent. Cobalt Strike затем используется для похищения данных авторизации в учетной записи сервиса на скомпрометированной системе. После захвата учетной записи злоумышленники устанавливают инструмент для удаленного доступа к системе AnyDesk и осуществляют боковое перемещение по сети.
Как правило, операторы вымогательского ПО используют в атаках сторонние инструменты для повышения своих привилегий и развертывания в сети вымогательского ПО. Однако в случае с BlackByte главную роль играет исполняемый файл самого вредоноса, способный повышать привилегии и перемещаться по сети подобно червю.
Вредонос устанавливает три значения реестра – для локального повышения привилегий, включения совместного использования сетевого подключения между всеми уровнями привилегий и разрешения длинных значений пути для директорий, имен и пространств имен файлов.
Перед шифрованием вредонос удаляет запланированную задачу «Raccine Rules Updater» в целях предотвращения его перехвата в последнюю минуту и стирает теневые копии непосредственно через объекты WMI с помощью обфусцированной команды PowerShell.
В итоге похищенные файлы архивируются с помощью WinRAR и выводятся через анонимные файлообменники наподобие «file.io» или «anonymfiles.com.»
Поскольку ИБ-компания Trustwave выпустила бесплатный инструмент для восстановления зашифрованных BlackByte файлов еще в октябре 2021 года, вряд ли вымогатели продолжают использовать те же тактики шифрования. Другими словами, новые жертвы BlackByte вряд ли смогут восстановить свои файлы с помощью декриптора Trustwave. Специалисты Red Canary зафиксировали уже несколько «свежих» вариантов BlackByte.
