美国联邦调查局（FBI）和特勤局（USSS）指出：在针对该国至少三个关键基础设施部门发起攻击过后，BlackByte 勒索软件团队又开始了兴风作浪。作为所谓的“勒索软件即服务”（RaaS），该团伙于 2021 年 7 月开始冒头，并针对全球企业发起了基于租赁制的勒索软件漏洞攻击。

图 1：JScript 执行流程（来自：Trustwave）

起初，BlackByte 对美国、欧洲、澳大利亚等地区的制造 / 医疗保健 / 建筑行业发起了攻击。

图 19：BlackByte 站点

几个月后，网络安全公司 Trustwave 发布了一款免费的解密工具，以帮助受害者恢复他们的文件。

图 2：经过处理和“美化”后的代码

鉴于该组织使用了相对简单的加密技术，一些人猜测 BlackByte 乃“业余爱好作品”。此外勒索软件会下载并执行相同的 AES 加密密钥，而不是给每个会话都分配唯一密钥。

图 3 - .NET 中的 DLL 文件

在消停了一阵子后，BlackByte 似乎又开始冒头。在周五发布的新警报中，FBI 与 USSS 声称：

图 4 - GOor.PVT5 文件解析

“该勒索软件团伙已危害多家美国和外国企业，且包括至少三起针对该国关键基础设施的攻击 —— 尤其是政府设施、金融服务、以及食品和农业行业”。

图 5 - CSCRIPT.EXE 脚本

新公告还分享了一些迹象指标，以帮助网络防御者识别 BlackByte 入侵。最新消息是，旧金山 49 人队也在超级碗前遭到了攻击，导致少量文件被盗。

图 6 - 解开后的 .NET 资源

EMSIsoft 勒索软件专家兼威胁分析师 Brett Callow 指出：尽管 BlackByte 不是最活跃的 RaaS，但其受害者数量在过去数月一直在稳步增加。

图 7 - 语言代码

欣慰的是，随着美国政府近期加大了对勒索软件攻击的打击力度，该团伙或许会变得相对收敛一些。

标签： FBI与USSS警告BlackByte勒索软件正在卷土重来 cnBeta