Montag · 15.06.2026 Ausgabe 2736 RSS
CyberDeutsch
Nachrichten Cybersicherheit täglich
Aktuelle Cybersicherheit-Nachrichten auf Deutsch.
Inaktiv · 320 Tage inaktiv Ransomware-Gruppe · Profil

BlackByte

147Opfer gesamt
0Opfer (30 Tage)
04.10.2021Erstes Auftreten
InaktivStatus

Überblick

BlackByte ist eine Ransomware-Gruppe. Charakteristisch für ihre Vorgehensweise ist ein in JavaScript geschriebener Dropper, der als Ausführungsmechanismus dient und eine in .NET entwickelte Schadkomponente auf dem Zielsystem nachlädt und zur Ausführung bringt. Über diesen mehrstufigen Aufbau trennt die Gruppe den anfänglichen Auslieferungscode von der eigentlichen Verschlüsselungs-Nutzlast. Die in JavaScript gehaltene erste Stufe lässt sich vergleichsweise unauffällig auf kompromittierten Systemen platzieren, während die nachgeladene .NET-Komponente die schädigende Funktion übernimmt. Diese Bauweise prägt das technische Profil von BlackByte und bestimmt, wie ihre Angriffe auf betroffenen Systemen ablaufen.

Taktiken & Vorgehen

BlackByte nutzt die Technik „Bring Your Own Vulnerable Driver“ (BYOVD): Mit legitimen, aber verwundbaren Treibern von Dell, GIGABYTE und MSI Afterburner sowie dem Zemana-Anti-Rootkit-Treiber wird versucht, Schutzmechanismen auf Treiberebene auszuhebeln. Zur Erkundung der Umgebung kommen PowerView für die Aufklärung von Active-Directory-Strukturen und SoftPerfect NetScan zum Netzwerk-Scanning zum Einsatz. Für Steuerung, laterale Bewegung und Post-Exploitation greift die Gruppe auf Cobalt Strike und PowerShell Empire zurück. Den dauerhaften Fernzugriff sichert sie über das legitime Fernwartungswerkzeug AnyDesk ab, das als getarnter Zugangskanal missbraucht wird.

Schutzmaßnahmen

Da BlackByte über BYOVD verwundbare Treiber von Dell, GIGABYTE, MSI Afterburner und Zemana einschleust, sollten anfällige Treiber per Sperrlisten blockiert und das Laden signierter Treiber überwacht werden. Gegen die Aufklärung mit PowerView und SoftPerfect NetScan sollten ungewöhnliche Active-Directory-Abfragen und interne Netzwerk-Scans erkannt werden. Der Einsatz von Cobalt Strike und PowerShell Empire sollte durch Überwachung verdächtiger PowerShell-Aktivität und entsprechender Command-and-Control-Muster eingedämmt werden. Das Fernwartungswerkzeug AnyDesk sollte, sofern nicht betrieblich benötigt, blockiert und andernfalls hinsichtlich unautorisierter Nutzung kontrolliert werden.

Chronologie

  1. 04.10.2021 Erste bekannte Aktivität
  2. 30.07.2025 Zuletzt aktiv

Erwähnt in