Blackbyte

BlackByte es un operador de ransomware de procedencia rusa, observado por primera vez en julio de 2021. Opera bajo un modelo de doble extorsión, una táctica común en estos grupos, que además ofrecen Ransomware como Servicio (Ransomware-as-a-Service – RaaS) como parte de sus actividades.

BlackByte es un operador de ransomware que se caracteriza por el uso de la técnica conocida como “Bring Your Own Driver”, usada por atacantes para eludir las protecciones de seguridad. Consiste en usar un controlador (driver) legítimo pero vulnerable, lo que les permite desactivar los controladores de seguridad de distintos fabricantes, evitando así  ser detectados o bloqueados.

Deshabilitar estos controladores conlleva un riesgo considerable, ya que estos drivers afectados  están firmados con certificados válidos y se ejecutan con altos privilegios en el sistema, impidiendo que los servicios de antivirus, detección y respuesta funcionen de manera correcta (EDR).

La mayoría de los ataques de BlackByte se centran en explotar una vulnerabilidad sobre una versión específica del controlador MSI Afterburner, RTCore64.sys, el cual es comúnmente usado para modificar parámetros en las tarjetas gráficas, permitiendo así un control total sobre las mismas. Esta vulnerabilidad, registrada por el NIST como CVE-2019-16098, posibilita la escalada de privilegios en el sistema y permite la ejecución de código no autorizado.

• En su primer año, la Oficina Federal de Investigaciones (FBI) y el Servicio Secreto de los Estados Unidos (USS), publicaron un aviso conjunto advirtiendo de la presencia de BlackByte en el año 2021.
• El 13 de febrero de 2022, el FBI reveló que BlackByte había accedido a la red de, al menos, tres organizaciones pertenecientes a la infraestructura crítica de Estados Unidos. Se han detectado más de 100 ataques en aproximadamente 30 países. Los operadores de BlackByte han dirigido la mayoría de estos ataques contra Estados Unidos, que ha sido el principal blanco, con aproximadamente la mitad de los incidentes registrados allí.

Cabe destacar que BlackByte ha lanzado ataques contra infraestructuras críticas y con bajo presupuesto de seguridad, garantizando que los datos sean lo suficientemente importantes y así, aumentar la presión ejercida sobre el pago del rescate. Sin embargo, han realizado ataques sobre otro tipo de entidades y sectores, como el equipo de fútbol americano de San Francisco, el cual fue víctima de este ransomware y sufrió el robo de datos financieros, documentos o identificaciones, para ser posteriormente publicados en la Dark web (.onion).

Un aspecto que diferencia a BlackByte de otros grupos ransomware es que utilizan una herramienta propia de exfiltración de información (denominada “ExaByte”) para robar datos de las víctimas, previo cifrado de los mismos. Sus operadores se aprovechan de herramientas legítimas de uso común como AnyDesk, centradas en el uso de las conexiones a escritorio remoto (RDP – Remote Desktop Protocol) para afianzarse en las máquinas de las víctimas.

Las primeras muestras del ransomware Blackbyte fueron escritas en C, posteriormente realizaron un cambio hacia archivos escritos en el lenguaje “Go”, uno de los lenguajes que ha cobrado más popularidad entre los grupos ransomware actuales.