FBI与USSS警告BlackByte勒索软件正在卷土重来

图 1：JScript 执行流程（来自：Trustwave）

起初，BlackByte 对美国、欧洲、澳大利亚等地区的制造 / 医疗保健 / 建筑行业发起了攻击。

图 19：BlackByte 站点

几个月后，网络安全公司 Trustwave 发布了一款免费的解密工具，以帮助受害者恢复他们的文件。

图 2：经过处理和“美化”后的代码

鉴于该组织使用了相对简单的加密技术，一些人猜测 BlackByte 乃“业余爱好作品”。此外勒索软件会下载并执行相同的 AES 加密密钥，而不是给每个会话都分配唯一密钥。

图 3 - .NET 中的 DLL 文件

在消停了一阵子后，BlackByte 似乎又开始冒头。在周五发布的新警报中，FBI 与 USSS 声称：

图 4 - GOor.PVT5 文件解析

“该勒索软件团伙已危害多家美国和外国企业，且包括至少三起针对该国关键基础设施的攻击 —— 尤其是政府设施、金融服务、以及食品和农业行业”。

图 5 - CSCRIPT.EXE 脚本

新公告还分享了一些迹象指标，以帮助网络防御者识别 BlackByte 入侵。最新消息是，旧金山 49 人队也在超级碗前遭到了攻击，导致少量文件被盗。

图 6 - 解开后的 .NET 资源

EMSIsoft 勒索软件专家兼威胁分析师 Brett Callow 指出：尽管 BlackByte 不是最活跃的 RaaS，但其受害者数量在过去数月一直在稳步增加。

图 7 - 语言代码

欣慰的是，随着美国政府近期加大了对勒索软件攻击的打击力度，该团伙或许会变得相对收敛一些。