Afiliasi BlackByte Hadir dengan Enkripsi dan Taktik Baru

BlackByte, kelompok ransomware-as-a-service yang diperkirakan merupakan cabang dari Conti, baru saja memperkenalkan versi enkripsi terbarunya. Menurut tim intelijen ancaman Cisco, "Talos telah mengidentifikasi beberapa perbedaan dalam serangan BlackByte yang terjadi baru-baru ini. Salah satu yang paling mencolok adalah semua file yang terenkripsi pada korban kini menggunakan ekstensi 'blackbytent_h', yang belum pernah dilaporkan sebelumnya dalam publikasi manapun.

“Versi enkripsi yang lebih baru ini juga menghilangkan empat driver yang rentan sebagai bagian dari teknik Bring Your Own Vulnerable Driver (BYOVD), yang selama ini menjadi metode umum bagi BlackByte. Ini merupakan peningkatan dibandingkan dengan dua atau tiga driver yang dijelaskan dalam laporan sebelumnya.”           

Taktik, Teknik, dan Prosedur (TTP) Baru

Berdasarkan hasil investigasi recent terkait serangan yang ditangani oleh tim respon insiden Cisco, terlihat bahwa beberapa afiliasi BlackByte telah mulai mengadopsi taktik, teknik, dan prosedur yang berbeda dari keahlian tradisional grup ini. Selain menerapkan enkripsi terbaru, afiliasi ini juga telah :

• Memanfaatkan CVE-2024-3708, sebuah kerentanan bypass otentikasi di VMware ESXi – untuk mengenkripsi beberapa mesin virtual secara bersamaan.
• Menggunakan mekanisme akses jarak jauh resmi milik korban, daripada menggunakan alat administrasi jarak jauh seperti AnyDesk.
• Penyerang menggunakan kredensial valid yang kemungkinan besar didapat melalui brute-forcing untuk mengakses VPN organisasi korban.

“Mengacu pada sejarah BlackByte dalam memanfaatkan kerentanan yang publik hadapi untuk mendapatkan akses awal, penggunaan VPN untuk mengakses secara jarak jauh bisa dianggap sebagai modifikasi teknik yang sedikit, atau mungkin mencerminkan oportunisme. Dengan memanfaatkan VPN korban, penyerang juga memperoleh keuntungan tambahan, termasuk pengurangan visibilitas dari EDR organisasi,” jelas para peneliti.

Dalam langkah pergerakan lateral, penyerang memanfaatkan Server Message Block (SMB) dan Remote Desktop Protocol (RDP), serta mencuri dan mengeksploitasi hash NTLM untuk proses autentikasi.

“Analisis dinamis biner ransomware mengungkapkan konsistensi penggunaan NTLM dalam autentikasi oleh file tersebut. Kami menemukan bahwa rutinitas eksekusinya meliputi pembuatan layanan di sistem lokal dan pemindaian berbagi jaringan di sistem lain menggunakan kredensial Direktori Aktif yang diambil dari lingkungan korban. Walaupun kami tidak memiliki rincian spesifik mengenai metode transmisi antar sistem, kemungkinan besar ini dilakukan melalui SMB ke berbagi jaringan yang terdeteksi selama proses pemindaian,” tambah para peneliti kepada Help Net Security.

“BlackByte dikenal untuk memanfaatkan layanan jarak jauh seperti berbagi SMB dan Windows Admin dalam kampanye mereka sebelumnya. Setelah berhasil mengakses sistem, mereka mengeksekusi biner yang telah disalin ke sistem jarak jauh dengan menggunakan kredensial yang tersimpan di dalam biner tersebut.”

Seperti yang terlihat dalam serangan-serangan sebelumnya, para penyerang melakukan modifikasi pada registri sistem, yang dapat mengakibatkan terganggunya konfigurasi alat keamanan. Selain itu, mereka juga menghapus EDR dari sistem utama secara manual.

Para korban BlackByte, sebagaimana yang telah diterbitkan di situs kebocoran data mereka, kebanyakan berasal dari sektor bisnis yang meliputi manufaktur, konstruksi, dan transportasi/pergudangan. Namun, para peneliti meyakini bahwa jumlah sebenarnya dari korban BlackByte jauh lebih tinggi.

"Kami memperkirakan rasio korban yang diungkapkan pada situs kebocoran data berkisar antara 20 hingga 30 persen. Estimasi ini didasarkan pada jumlah korban yang tertera di situs BlackByte jika dibandingkan dengan insiden serangan yang kami temukan melalui data telemetri kami pada periode yang sama, dengan fokus pada indikator serangan yang serupa," mereka menjelaskan kepada Help Net Security.

Berbagai alasan dapat menjelaskan mengapa sebagian korban terlihat di situs kebocoran data sementara yang lainnya tidak. Beberapa faktor yang mungkin berperan termasuk pembayaran tebusan oleh korban sebelum data mereka diunggah, serangan yang berfokus pada enkripsi tanpa pencurian data, ataupun keterlibatan penyerang yang merupakan afiliasi RaaS tidak berwenang dalam pengoperasian situs kebocoran. Di samping itu, BlackByte mungkin juga memiliki preferensi untuk menjaga profil serangan mereka tetap rendah dengan hanya memilih kiriman korban yang tertentu.