BlackByte 勒索软件关联方观察到使用新定制数据外泄工具

BlackByte勒索病毒新工具Exbyte助力数据窃取

主要重点

根据Symantec威胁猎人团队的最新研究，至少有一个BlackByte勒索病毒的联盟已采用新的自订数据窃取工具Exbyte，以快速从受损设备上窃取数据。这一近期发展显示，BlackByte在勒索病毒攻击中的受欢迎程度与几个主要勒索病毒组织如Conti和Sodinokibi的退出密切相关。

Dick O’Brien，Symantec的首席情报分析师，警告称，为BlackByte攻击创建新的自订恶意软件工具可能会提高未来威胁。O’Brien在接受SC Media访问时表示：如果BlackByte在接下来的几个月内保持目前的活动力度，它将成为最顶尖的勒索病毒威胁之一。

根据研究，Exbyte是用Go语言编写的，专为将窃取的数据上传至Megaconz云存储服务而设计。其反侦察措施比之前的数据窃取工具更为复杂。Exbyte执行时，首先进行反分析检查，以确定其是否在沙盒环境中运行，并调用IsDebuggerPresent和CheckRemoteDebuggerPresent API。随后，它会检查与防病毒或沙盒相关的文件。

如果检测结果正常，Exbyte将列举受损设备上的文档文件，并将其上传到Mega上创建的新文件夹，使用预设的帐户凭证。Exbyte并不是首个与勒索病毒家族相关的自订数据窃取工具，之前有使用于BlackMatter勒索病毒的Exmatter工具，以及与LockBit勒索病毒相关的StealBit。

O’Brien告诉SC Media，企业应针对潜在攻击链的每个环节应用多种检测和强化技术，以降低风险。例如，他建议企业应监控双用途工具在内部网络中的使用情况，并确保拥有最新版本的PowerShell。企业还可以引入一次性凭证来防止管理凭证的盗窃和滥用。

我们还建议创建管理工具的使用个人资料。许多这些工具被攻击者用来在网络中侧向移动而不被发现。O’Brien补充道。