Ransomware BlackByte

Publicado hace 10 meses 01-08-2025

El ransomware BlackByte empezó su actividad desde finales del año 2021 y mantenido su operación hasta el día de hoy, aunque esta amenaza a tenido fluctuaciones en todos los años que lleva en actividad, como en el año 2023 que se monitoreo actividad constante desde el mes de enero hasta el mes de octubre, y en el 2024 donde solo se detectaron victimas en el mes de marzo, junio, julio y septiembre. Este año 2025 no se había detectado actividad de BlackByte, pero en este mes de julio la amenaza publico 9 víctimas lo que vuelve a poner en radar a la amenaza y su constante evolución. 
 

BlackByte se categoriza por atacar víctimas de los sectores de gobierno, tecnología, manufactura, finanzas y agricultura. También se analizó que esta amenaza tiene mayor número de víctimas en Estados Unidos, Brasil, Reino Unido, Suecia y Polonia.  

Chart 1, Chart element 

[1] Grafica con fluctuación a través de los años del Ransomware BlackByte

 

BlackByte ha evolucionado desde el año 2021 y tenido diferentes variantes para adaptarse y evadir la seguridad de sus víctimas. En su última variante conocida utilizan la explotación de vulnerabilidades y correos de phishing para obtener acceso inicial a la infraestructura de sus víctimas, continúan el ataque con tácticas de persistencia en donde detienen algunos servicios en ejecución del sistema para que el ataque corra más rápido, después realizan escaneos de red en busca de vulnerabilidad, puertos abierto y volcado de credenciales esto para escalar privilegios. 
 

Después de obtener credenciales de administrador realizan movimientos laterales a través de la infraestructura de la víctima en busca de información critica que posteriormente es exfiltrada. Lo siguiente que realiza esta amenaza es cifrar todos los archivos de la infraestructura de sus víctimas, eliminar los respaldos de información y por último deja una nota de rescate, en la cual afirman haber comprometido información y piden un pago de rescate para evitar sea publicada y puesta a la venta en su sitio de filtración. 

A screenshot of a computerAI-generated content may be incorrect. 

[2] Sitio de filtración del Ransomware BlackByte
 

Taxonomía MITRE ATT&CK 

Táctica 

ID de la técnica 

Nombre 

Initial Access 

T1566  

Phishing 

T1078.002 

 Valid Accounts: Domain Accounts 

T1078.003 

Valid Accounts: Local Accounts 

Discovery 

T1018 

 Remote System Discovery 

T1083 

File and Directory Discovery 

Persistence 

T1136.002 

Create Account: Domain Account 

Execution 

T1204 

User Execution 

T1569.002 

System Services: Service Execution 

Privilege Escalation 

T1543 

Create or Modify System Process 

T1484.001 

Domain Policy Modification 

T1484 

Domain Modification 

T1098 

Account Manipulation 

Lateral Movement 

T1021.002 

Remote Services: SMB/Windows Admin Shares 

T1021.001 

Remote Services: Remote Desktop Protocol 

T1210 

Exploitation of Remote Services 

Defense Evasion 

T1562.001 

 Impair Defenses: Disable or Modify Tools 

T1112 

Modify Registry 

T1070.004 

 Indicator Removal: File Deletion 

T1211 

Exploitation for Defense Evasion 

Impact 

T1529 

System Shutdown/Reboot 

T1486 

Data Encrypted for Impact 

 

Indicadores de compromiso  

IOC 

Tipo  

Moereng[.]com   

Dominio  

Exckicks[.]com 

Dominio  

21e13f2cb269defeae5e1d09887d47bb 

FileHash-MD5 

16d7ecf09fc98798a6170e4cef2745e0bee3f5c7 

FileHash-SHA1 

543991ca8d1c65113dff039b85ae3f9a87f503daec30f46929fd454bc57e5a91 

FileHash-SHA256 

185.93.6.31 

IP 

185.225.73.244 

IP 

1eee62ae28e6b20f4100ce4a02fedd94 

FileHash-MD5 

23c893984e388278e7996b70f220aa28 

FileHash-MD5 

2d8e4f38b36c334d0a32a7324832501d 

FileHash-MD5 

5483da573c6a239f9a5d6e6552b307b0 

FileHash-MD5 

A62D5C8EF4D626FEBFCD2C00898C6C27 

FileHash-MD5 

13c6c472a1dfcb2cc03bd65a3f122e8230255821 

FileHash-SHA1 

854e020efefbf393e04d897b6b0b83ef92fd2db8 

FileHash-SHA1 

C2EACA8799D335954EF3D9A1867EC1B629CA4F1A 

FileHash-SHA1 

f6f11ad2cd2b0cf95ed42324876bee1d83e01775 

FileHash-SHA1 

ff1b176f0885c730516e798aaa14cff694f34a3b 

FileHash-SHA1 

01aa278b07b58dc46c84bd0b1b5c8e9ee4e62ea0bf7a695862444af32e87f1fd 

FileHash-SHA256 

1b9badb1c646a19cdf101ac4f6fdd23bc61eaab8c9f925eb41848cea9fd0738e 

FileHash-SHA256 

4a066569113a569a6feb8f44257ac8764ee8f2011765009fdfd82fe3f4b92d3e 

FileHash-SHA256 

5f37b85687780c089607670040dbb3da2749b91b8adc0aa411fd6280b5fa7103 

FileHash-SHA256 

 

Recomendaciones

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque. 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multifactor. 

Referencias

  1. Elsad, A. (2022, Abril 21). Threat assessment: BlackByte Ransomware. Unit 42. Recuperado el 31 de julio de 2025, en: https://unit42.paloaltonetworks.com/blackbyte-ransomware/#:~:text=BlackByte%20is%20ransomware%20as%20a%20service%20(RaaS)%20that,to%20gain%20a%20foothold%20in%20the%20victim's%20environment
  2. Response, M. I. (2025, Julio 03). The five-day job: A BlackByte ransomware intrusion case study. Microsoft Security Blog. Recuperado el 31 de julio de 2025, en: https://www.microsoft.com/en-us/security/blog/2023/07/06/the-five-day-job-a-blackbyte-ransomware-intrusion-case-study/?msockid=3668c53e914c60b426aad042902761d6 
  3. Nutland, J. (2024, Septiembre 03). BlackByte blends tried-and-true tradecraft with newly disclosed vulnerabilities to support ongoing attacks. Cisco Talos Blog. Recuperado el 31 de julio de 2025, en: https://blog.talosintelligence.com/blackbyte-blends-tried-and-true-tradecraft-with-newly-disclosed-vulnerabilities-to-support-ongoing-attacks/ 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 2 días 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más