L’une des variantes de rançongiciel les plus répandues aujourd’hui est devenue encore plus meurtrière avec l’ajout d’un nouvel outil personnalisé qui stocke les données sensibles volées dans le cloud.
Les chercheurs en cybersécurité de l’équipe Threat Hunter de Symantec ont publié un nouveau rapport sur BlackByte, dans lequel il indique qu’au moins un affilié de ransomware utilise Exbyte pour siphonner les données volées.
Exbyte est un outil d’exfiltration de données personnalisé, intégré à Go pour Windows, et une fois activé, envoie toutes les données volées vers un dossier spécifique sur le stockage en nuage Mega (s’ouvre dans un nouvel onglet) service. Le dossier est protégé par un mot de passe, les informations d’identification étant codées en dur dans l’outil lui-même. Avant d’envoyer les fichiers, cependant, l’outil vérifiera s’il se trouve dans un bac à sable, ce qui compliquera l’analyse de l’échantillon par les équipes de cybersécurité. Il vérifie également si des outils antivirus sont également en cours d’exécution sur le point de terminaison compromis.
S’élever
C’est un signe révélateur que BlackByte est devenu l’un des acteurs les plus importants du monde des rançongiciels, en particulier avec le démantèlement de Conti et REvil.
« Suite au départ d’un certain nombre d’opérations majeures de ransomware telles que Conti et Sodinokibi [also known as REvil]BlackByte est devenu l’un des acteurs du ransomware à profiter de cette lacune sur le marché », indique le rapport de Symantec.
« Le fait que les acteurs créent maintenant des outils personnalisés à utiliser dans les attaques BlackByte suggère qu’il est peut-être en passe de devenir l’une des principales menaces de ransomware. »
Exbyte n’est pas le seul outil d’exfiltration de données personnalisé. Des chercheurs de Symantec ont également déclaré avoir détecté un outil similaire en novembre de l’année dernière, appelé Exmatter. Celui-ci a été utilisé, avant tout, par le groupe de rançongiciels BlackMatter. Il a ensuite été adopté par Noberus. Ryuk utilise le Ryuk Stealer, tandis que LockBit utilise StealBit.
Via : Le Registre (s’ouvre dans un nouvel onglet)