BlackByte ExByte Hecamede Symantec Golang Mega ProxyShell
Теперь в вымогательстве участвует облачное хранилище Mega.
Исследователи ИБ-компании Symantec
обнаружили , что хакеры
BlackByte
используют новый инструмент эксфильтрации под названием Exbyte — это инструмент для эксфильтрации на основе языка Go, который загружает украденные файлы непосредственно в облачное хранилище Mega. Инструмент разработали участники группировки BlackByte.
«
data-html=»true» data-original-title=»Exbyte»
>Exbyte (Infostealer.Exbyte) в своих недавних кампаниях, эксплуатирующих
уязвимости
ProxyShell. С помощью Exbyte хакеры могут проводить более разрушительные атаки с двойным вымогательством.
Согласно Symantec, новая группировка Hecamede, созданная участниками BlackByte, разработала вредоносное ПО для ускорения кражи данных из сети жертвы и загрузки их на внешний сервер. По крайней мере, один штамм программы-вымогателя BlackByte активно использует Exbyte во время своих атак.
Exbyte — это инструмент для эксфильтрации на основе языка Go, который загружает украденные файлы непосредственно в облачное хранилище Mega. После запуска Exbyte выполняет антианалитические проверки, а также проверяет отладчики и антивирусные процессы, чтобы избежать обнаружения.
После проверки Exbyte перечисляет все файлы документов на зараженном компьютере. Затем он сохраняет пути к файлам и загружает эти файлы в папку, которую вредоносное ПО создает на Mega.co.nz, используя жестко заданные учетные данные.
Ранее сообщалось, что
группировка BlackByte использует еще одну новую технику под названием «Bring Your Own Vulnerable Driver» (BYOVD) , позволяющую обойти защиту путем отключения более 1000 драйверов, используемых различными системами безопасности.