BlackByte - это Ransomware-as-a-Service (RaaS), которая атакует корпорации по всему миру с июля 2021 года. Предыдущие версии ransomware были написаны на C#. Недавно авторы переработали вымогательскую программу, используя язык программирования Go. Вариант BlackByte Go использовался в атаках, описанных в консультативном письме ФБР, в котором сообщалось, что BlackByte скомпрометировал множество предприятий, включая организации в критических секторах инфраструктуры США. В этой заметке специалисты Zscaler ThreatLabz анализируют два варианта реализации BlackByte ransomware на базе языка Go.
BlackByte
ThreatLabz выявила два варианта BlackByte на базе Go. Первый вариант был замечен в дикой природе примерно в сентябре 2021 года и имеет много общего с версией на C#, включая команды, выполняемые для бокового распространения, повышения привилегий и алгоритмы шифрования файлов. Более поздний вариант на основе Go был представлен примерно в феврале 2022 года. В этом новом варианте было представлено множество дополнительных функций и обновлены алгоритмы шифрования файлов.
Indicators of Compromise
IPv4
- 185.93.6.31
URLs
- https://185.93.6.31/mountain.png
- http://p5quu5ujzzswxv4nxyuhgg3fjj2vy2a3zmtcowalkip2temdfadanlyd.onion
- http://fyk4jl7jk6viteakzzrxntgzecnz4v6wxaefmbmtmcnscsl3tnwix6yd.onion
- http://7oukjxwkbnwyg7cekudzp66okrchbuubde2j3h6fkpis6izywoj2eqad.onion
SHA256
- 1df11bc19aa52b623bdf15380e3fded56d8eb6fb7b53a2240779864b1a6474ad
- 388163c9ec1458c779849db891e17efb16a941ca598c4c3ac3a50a77086beb69
- 44a5e78fce5455579123af23665262b10165ac710a9f7538b764af76d7771550
- 6f36a4a1364cfb063a0463d9e1287248700ccf1e0d8e280e034b02cf3db3c442
- ffc4d94a26ea7bcf48baffd96d33d3c3d53df1bb2c59567f6d04e02e7e2e5aaa
- 9103194d32a15ea9e8ede1c81960a5ba5d21213de55df52a6dac409f2e58bcfe
- e434ec347a8ea1f0712561bccf0153468a943e16d2cd792fbc72720bd0a8002e