NUEVA HERRAMIENTA DE EXFILTRACIÓN EXBYTE

Recientemente se ha descubierto que afiliados al ransomware Blackbyte están haciendo uso de una herramienta de exfiltración denominada ExByte en ataques de doble extorsión.

Servicios Afectados

• Sistemas operativos Windows

 

Detalles Tecnicos

CVE: ---

Severidad:   ALTA

Se cree que la exfiltración de datos es una de las funciones más importantes en los ataques de doble extorsión, porque según especialistas de seguridad las empresas están pagando más comúnmente las demandas de rescate para evitar la fuga de datos que para recibir un descifrador.

Debido a esto, las operaciones de ransomware, incluyendo ALPHV y LockBit, están trabajando constantemente en la mejora de sus herramientas de robo de datos.

Al mismo tiempo, otros grupos como Karakurt, ni siquiera se molestan en cifrar las copias locales, sino centran sus esfuerzos en la exfiltración de datos.

Una vez ejecutada, la herramienta realiza comprobaciones anti-análisis para determinar si se está ejecutando en un entorno sandbox y comprueba si hay depuradores o procesos de antivirus.

Los procesos que Exbyte comprueba son:

MegaDumper 1.0 by CodeCracker / SnD, Import reconstructor, x64dbg, x32dbg, OLLYDBG, WinDbg, The Interactive Disassembler, Immunity Debugger – [CPU].

Además, el malware comprueba la presencia de los siguientes archivos DLL:

avghooka[.]dll, avghookx[.]dll, sxin[.]dll, sf2[.]dll, sbiedll[.]dll, snxhk[.]dll , cmdvrt32[.]dll, cmdvrt64[.]dll, wpespy[.]dll, vmcheck[.]dll, pstorec[.]dll, dir_watch[.]dll, api_log[.]dll y dbghelp[.]dll.

El binario del ransomware BlackByte también implementa estas mismas pruebas, pero la herramienta de exfiltración necesita ejecutarlas de forma independiente, ya que la exfiltración de datos tiene lugar antes del cifrado de los archivos.

Si las pruebas son correctas, Exbyte enumera todos los archivos del sistema infectado y los sube a una carpeta recién creada en Mega utilizando las credenciales de la cuenta codificada.

A continuación, Exbyte enumera todos los archivos de documentos del ordenador infectado, como los archivos .txt, .doc y .pdf, guarda la ruta completa y el nombre del archivo en %APPDATA%\dummy.

 

Indicadores de Compromiso

HASH

MD5: 5483da573c6a239f9a5d6e6552b307b0

SHA256: f157090fd3ccd4220298c06ce8734361b724d80459592b10ac632acc624f455e

MD5: e03a74a92211229c0c6f2886aaac4c2a

SHA256: 794a5621fda2106fcb94cbd91b6ab9567fb8383caa7f62febafcf701175f2b91

MD5: 303a9c45c7bf6e8e69f075bac3897145

SHA256: efc2125e628b116eb0c097c699e473a47a280dfcd3e02cada41bdf6969600b41

MD5: 8d42417ef02e50249fb7f97fcbfbbb8b

SHA256: 9103194d32a15ea9e8ede1c81960a5ba5d21213de55df52a6dac409f2e58bcfe

 

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

 

Fuente

• Fuente 1: BlackByte ransomware uses new data theft tool for double-extortion
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com