عادت مجموعة BlackByte ransomware ، التي لها صلات بـ Conti ، إلى الظهور بعد توقف مع وجود وسائل التواصل الاجتماعي الجديدة على Twitter وطرق ابتزاز جديدة مستعارة من عصابة LockBit 3.0 المعروفة.
وفقا للتقارير ، فإن تستخدم مجموعة برامج الفدية العديد من مقابض Twitter للترويج لاستراتيجية الابتزاز المحدثة وموقع التسرب ومزادات البيانات. يسمح النظام الجديد للضحايا بالدفع مقابل تمديد نشر بياناتهم المسروقة لمدة 24 ساعة (5,000 دولار) ، أو تنزيل البيانات (200,000 ألف دولار) أو تدمير جميع البيانات (300,000 ألف دولار). إنها استراتيجية مجموعة LockBit 3.0 رائدة بالفعل.
تقول نيكول هوفمان ، رئيسة استخبارات التهديدات الإلكترونية: "ليس من المستغرب أن تقوم BlackByte بإخراج صفحة من كتاب LockBit ليس فقط من خلال الإعلان عن الإصدار 2 من عملية برامج الفدية الخاصة بهم ولكن أيضًا اعتماد الدفع لتأخير نموذج الابتزاز أو تنزيله أو تدميره". المحلل في Digital Shadows ، الذي يصف سوق مجموعات برامج الفدية بأنه "منافس" ويشرح أن LockBit هي واحدة من أكثر مجموعات برامج الفدية انتشارًا ونشاطًا على مستوى العالم.
يضيف هوفمان أنه من الممكن أن تحاول BlackByte اكتساب ميزة تنافسية أو محاولة جذب انتباه وسائل الإعلام لتجنيد عملياتها وتنميتها.
"على الرغم من أن نموذج الابتزاز المزدوج لم يتم كسره بأي شكل من الأشكال ، فقد يكون هذا النموذج الجديد وسيلة للمجموعات لتقديم تدفقات إيرادات متعددة ، "كما تقول. "سيكون من المثير للاهتمام معرفة ما إذا كان هذا النموذج الجديد سيصبح اتجاهًا بين مجموعات برامج الفدية الأخرى أو مجرد بدعة لم يتم تبنيها على نطاق واسع."
أوليفر تافاكولي ، كبير موظفي التكنولوجيا في Vectra ، يطلق على هذا النهج "ابتكار أعمال مثير للاهتمام".
يقول: "إنها تسمح بتحصيل مدفوعات أصغر من الضحايا الذين هم على يقين تقريبًا من أنهم لن يدفعوا الفدية ولكنهم يريدون التحوط لمدة يوم أو يومين أثناء التحقيق في مدى الانتهاك".
يشير John Bambenek ، صائد التهديدات الرئيسي في Netenrich ، إلى أن الجهات الفاعلة في برامج الفدية قد تلاعبت بمجموعة متنوعة من النماذج لزيادة إيراداتها إلى أقصى حد.
يقول: "يبدو هذا تقريبًا وكأنه تجربة حول ما إذا كان بإمكانهم الحصول على مستويات أقل من المال". "أنا فقط لا أعرف لماذا سيدفع أي شخص لهم أي شيء باستثناء إتلاف جميع البيانات. ومع ذلك ، يقوم المهاجمون ، مثل أي صناعة ، بتجربة نماذج الأعمال طوال الوقت ".
التسبب في تعطيل التكتيكات الشائعة
ظل BlackByte أحد أكثر متغيرات برامج الفدية شيوعًا ، حيث أصاب المنظمات في جميع أنحاء العالم وكان يستخدم سابقًا قدرة دودة مماثلة لسلائف Conti Ryuk. لكن هاريسون فان ريبر ، كبير محللي الاستخبارات في Red Canary ، يشير إلى أن BlackByte هي مجرد واحدة من العديد من عمليات Ransomware as-a-service (RaaS) التي لديها القدرة على إحداث الكثير من الاضطراب باستخدام التكتيكات والتقنيات الشائعة نسبيًا.
يقول: "مثل معظم مشغلي برامج الفدية ، فإن التقنيات التي يستخدمها BlackByte ليست معقدة بشكل خاص ، ولكن هذا لا يعني أنها ليست مؤثرة". "من المحتمل أن يكون خيار تمديد الجدول الزمني للضحية جهدًا للحصول على نوع من الدفع على الأقل من الضحايا الذين قد يحتاجون إلى وقت إضافي لمجموعة متنوعة من الأسباب: لتحديد شرعية ونطاق سرقة البيانات أو مواصلة المناقشة الداخلية الجارية حول كيفية الرد ، على سبيل المثال لا الحصر. "
يقول Tavakoli أن محترفي الأمن السيبراني يجب أن ينظروا إلى BlackByte بشكل أقل كممثل ثابت فردي وأكثر كعلامة تجارية يمكن أن يكون لها حملة تسويقية جديدة مرتبطة بها في أي وقت ؛ ويشير إلى أن مجموعة الأساليب الأساسية لشن الهجمات نادراً ما تتغير.
يقول: "قد يتغير البرنامج الضار الدقيق أو متجه الدخول الذي تستخدمه علامة تجارية معينة لبرامج الفدية بمرور الوقت ، ولكن مجموع التقنيات المستخدمة في كل منهم ثابت جدًا". "ضع عناصر التحكم الخاصة بك في مكانها الصحيح ، وتأكد من أن لديك إمكانات الكشف عن الهجمات التي تستهدف بياناتك القيمة ، وقم بتشغيل هجمات محاكاة لاختبار الأشخاص والعمليات والإجراءات."
يستهدف BlackByte البنية التحتية الحيوية
يقول بامبنيك أنه نظرًا لارتكاب BlackByte لبعض الأخطاء (مثل خطأ في قبول المدفوعات في الموقع الجديد) ، فمن وجهة نظره قد يكون مستوى المهارة أقل قليلاً من الآخرين.
"ومع ذلك ، تقول التقارير مفتوحة المصدر أنها لا تزال تعرض أهدافًا كبيرة للخطر ، بما في ذلك تلك الموجودة في البنية التحتية الحيوية" ، كما يقول. "يأتي اليوم الذي تتم فيه إزالة مزود بنية تحتية مهم عن طريق برامج الفدية التي ستخلق أكثر من مجرد مشكلة في سلسلة التوريد مما رأيناه مع خط أنابيب Colonial."
في فبراير ، أفرج عن مكتب التحقيقات الفيدرالي والخدمة السرية الأمريكية
a استشارات الأمن السيبراني المشتركة على BlackByte ، محذراً من أن المهاجمين الذين ينشرون برنامج الفدية قد أصابوا المنظمات في ثلاثة على الأقل من قطاعات البنية التحتية الحيوية في الولايات المتحدة.
