BlackByte勒索病毒新工具Exbyte助力数据窃取

主要重点

• BlackByte勒索病毒的联盟已使用新工具Exbyte来迅速窃取数据。
• 该工具具有更强的反侦察能力，专门用于上传数据至Mega.co.nz云服务。
• 随著数据窃取技术的进步，未来的威胁可能会增加。
• 专家建议企业加强防御技术以降低风险。

根据Symantec威胁猎人团队的最新研究，至少有一个BlackByte勒索病毒的联盟已采用新的自订数据窃取工具Exbyte，以快速从受损设备上窃取数据。这一近期发展显示，BlackByte在勒索病毒攻击中的受欢迎程度与几个主要勒索病毒组织（如Conti和Sodinokibi）的退出密切相关。

DickO’Brien，Symantec的首席情报分析师，警告称，为BlackByte攻击创建新的自订恶意软件工具可能会提高未来威胁。O’Brien在接受SCMedia访问时表示：「如果BlackByte在接下来的几个月内保持目前的活动力度，它将成为最顶尖的勒索病毒威胁之一。」

根据研究，Exbyte是用Go语言编写的，专为将窃取的数据上传至Mega.co.nz云存储服务而设计。其反侦察措施比之前的数据窃取工具更为复杂。Exbyte执行时，首先进行反分析检查，以确定其是否在沙盒环境中运行，并调用IsDebuggerPresent和CheckRemoteDebuggerPresentAPI。随后，它会检查与防病毒或沙盒相关的文件。

如果检测结果正常，Exbyte将列举受损设备上的文档文件，并将其上传到Mega上创建的新文件夹，使用预设的帐户凭证。Exbyte并不是首个与勒索病毒家族相关的自订数据窃取工具，之前有使用于BlackMatter勒索病毒的Exmatter工具，以及与LockBit勒索病毒相关的StealBit。

O’Brien告诉SCMedia，企业应针对潜在攻击链的每个环节应用多种检测和强化技术，以降低风险。例如，他建议企业应监控双用途工具在内部网络中的使用情况，并确保拥有最新版本的PowerShell。企业还可以引入一次性凭证来防止管理凭证的盗窃和滥用。

「我们还建议创建管理工具的使用个人资料。许多这些工具被攻击者用来在网络中侧向移动而不被发现。」O’Brien补充道。