Cyberthreat.id – peneliti keamanan di Symantec mengungkapkan bahwa kelompok ransomware BlackByte menggunakan alat eksfiltrasi data khusus yang disebut 'ExByte' untuk mencuri data dari perangkat Windows yang disusupi dengan cepat.

Seperti diketahui, eksfiltrasi data merupakan salah satu fungsi terpenting dalam serangan pemerasan ganda, dan banyak perusahaan lebih memilih untuk membayar permintaan tebusan untuk mencegah kebocoran data daripada menerima decryptor. Karena itu, operasi ransomware, termasuk ALPHV dan LockBit, terus berupaya meningkatkan alat pencurian data mereka dengan eksfiltrasi data ini.

Dikutip dari Bleeping Computer, peneliti mengatakan bahwa Exybyte merupakan alat eksfiltrasi berbasis Go, yang digunakan pelaku ancaman untuk mengunggah file curian langsung ke layanan penyimpanan cloud Mega. Setelah dieksekusi, alat ini melakukan pemeriksaan anti-analisis untuk menentukan apakah itu berjalan di lingkungan kotak pasir dan memeriksa proses debugger dan anti-virus.

“Biner ransomware BlackByte juga menerapkan pengujian yang sama ini, tetapi alat eksfiltrasi perlu menjalankannya secara independen karena eksfiltrasi data dilakukan sebelum enkripsi file,” kata peneliti.

Jika tesnya bersih, Exbyte menghitung semua file dokumen pada sistem yang dilanggar dan mengunggahnya ke folder yang baru dibuat di Mega menggunakan kredensial akun yang di-hardcode. Selanjutnya, Exbyte menghitung semua file dokumen di komputer yang terinfeksi, seperti file .txt, .doc, dan .pdf, dan menyimpan path lengkap dan nama file ke %APPDATA%\dummy.

"File yang terdaftar kemudian diunggah ke folder yang dibuat malware di Mega.co.nz. Kredensial untuk akun Mega yang digunakan di-hardcode ke Exbyte,” kata Peneliti.

Sebagai informasi, BlackByte meluncurkan operasi pada musim panas 2021, dan pada Februari 2022, geng tersebut telah melanggar banyak organisasi swasta dan publik, termasuk infrastruktur penting di Amerika Serikat.

Analis Symantec melaporkan bahwa serangan BlackByte baru-baru ini mengandalkan eksploitasi set ProxyShell dan ProxyLogon tahun lalu di server Microsoft Exchange. Selain itu, penyusup menggunakan alat seperti AdFind, AnyDesk, NetScan, dan PowerView untuk bergerak secara lateral.

Serangan terbaru menggunakan ransomware versi 2.0, menghapus Kernel Notify Routines untuk melewati perlindungan EDR, seperti yang dianalisis Sophos dalam laporan bulan Oktober. Seperti operasi ransomware lainnya, BlackByte menghapus salinan bayangan volume untuk mencegah pemulihan data yang mudah, memodifikasi pengaturan firewall untuk membuka semua koneksi jarak jauh, dan akhirnya memasukkan dirinya sendiri ke dalam instance "scvhost.exe" untuk fase enkripsi.

Bahkan, menurut laporan Intel 471 yang diterbitkan kemarin, pada Q3 2022, BlackByte menargetkan terutama organisasi di Afrika, kemungkinan untuk menghindari memprovokasi penegakan hukum Barat.