top of page
  • Foto del escritorEquipo Inforc Ecuador

BlackHunt Ransomware Advisory



A mediados del 2023 se encontraron nuevas variantes de BlackHunt que afectaron a algunas compañías en Latam. BlackHunt es un ransomware identificado hace relativamente poco, se tiene registros de infecciones que datan desde mediados de Noviembre del 2022. Según algunos análisis, se han encontrado notables similitudes con el código filtrado del ransomware Conti-2, sugiriendo que BlackHunt podría ser una variante derivada de dicho código.


Aquí encontrará todo lo que sabemos sobre BlackHunt Ransomware para que pueda mantenerse un paso por delante de este grupo de ransomware.


El malware realiza el cifrado del sistema y renombra los archivos adicionando las extensiones .black o .hunt2 y el siguiente patrón posterior al nombre original del archivo:


  • [<ID_Victim_random{16}>].[<email>].Black

  • [<ID_Victim_random{16}>].[<email>].hunt2

Algunos ejemplos:



Se realiza cifrado sobre documentos en formato MS Office, OpenOffice, PDF, texto, databases, fotos, música, videos e imágenes.


Al finalizar el proceso de cifrado se copia un grupo de archivos por defecto:4


-> \%TEMP%\ ->


Nota de extorsión versión .txt 10/2023



Entrada de registro asociados al malware:

Registry entries associated with this Ransomware:


  • HKEY_LOCAL_MACHINE\Software\Classes\Black

  • HKEY_LOCAL_MACHINE\Software\Classes\Black

  • "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v

  • {2C5F9FCC-F266-43F6-BFD7-838DAE269E11}" /t REG_SZ /d

  • "C:\ProgramData\#BlackHunt_ReadMe.hta" /f

  • "HKEY_LOCAL_MACHINE\Software\Classes\.Black\DefaultIcon" /ve /t REG_SZ /d

  • "C:\ProgramData\#BlackHunt_Icon.ico"

  • "HKEY_LOCAL_MACHINE\Software\Classes\Black\DefaultIcon" /ve /t REG_SZ /d

  • "C:\ProgramData\#BlackHunt_Icon.ico" /f

  • "HKEY_LOCAL_MACHINE\Software\Classes\Black" /f


And others, see test results below. Mutexes: See analysis results below. Network connections and communications:


TTPs

Las infecciones con las últimas variantes han utilizado conexiones RDP expuestas con vulnerabilidades como principal vector de entrada, sin embargo este ransomware como la mayoría de los actuales también aprovecha vulnerabilidades en la superficie de exposición sobre otros servicios, compra de credenciales y campañas de spread phishing. A continuación se muestran algunos ejemplos de los TTP que utiliza BlackHunt.




IoC de red conocido y confirmado asociado con este grupo de ransomware hasta ahora:


  • hxxx://sdjf982lkjsdvcjlksaf2kjhlksvvnktyoiasuc92lf[.]onion

Ataques como este suelen ocurrir sin previo aviso, pero los ciberdelincuentes siempre dejan pistas. Comprender la matriz MITRE y los TTP asociados le ayudará a determinar si su organización es un objetivo.


En INFORC ECUADOR contamos con servicios, capacitaciones y programas de entrenamiento a los usuarios, para eso te invitamos a concretar una reunión con nuestros especialistas en: https://lnkd.in/e2UTJK92

 

RECURSOS

22 visualizaciones
bottom of page