BlackByte ransomware-gruppen, som har forbindelser til Conti, er genopstået efter en pause med en ny tilstedeværelse på sociale medier på Twitter og nye afpresningsmetoder lånt fra den bedre kendte LockBit 3.0-bande.
Ifølge rapporterne ransomware-gruppen bruger forskellige Twitter-håndtag for at promovere den opdaterede afpresningsstrategi, lækagewebsted og dataauktioner. Den nye ordning giver ofre mulighed for at betale for at forlænge offentliggørelsen af deres stjålne data med 24 timer ($5,000), downloade dataene ($200,000) eller ødelægge alle data ($300,000). Det er en strategi LockBit 3.0 gruppe allerede banebrydende.
"Det er ikke overraskende, at BlackByte tager en side ud af LockBits bog ved ikke kun at annoncere en version 2 af deres ransomware-operation, men også ved at bruge lønnen for at forsinke, downloade eller ødelægge afpresningsmodellen," siger Nicole Hoffman, senior efterretningstjeneste for cybertrusler analytiker hos Digital Shadows, som kalder markedet for ransomware-grupper "konkurrencedygtigt" og forklarer, at LockBit er en af de mest produktive og aktive ransomware-grupper globalt.
Hoffman tilføjer, at det er muligt, at BlackByte forsøger at opnå en konkurrencefordel eller forsøger at opnå medieopmærksomhed for at rekruttere og udvikle sine aktiviteter.
"Selvom dobbelt-afpresningsmodel er ikke brudt på nogen måde, kan denne nye model være en måde for grupper at introducere flere indtægtsstrømme,” siger hun. "Det vil være interessant at se, om denne nye model bliver en trend blandt andre ransomware-grupper eller bare en mode, der ikke er bredt udbredt."
Oliver Tavakoli, CTO hos Vectra, kalder denne tilgang for en "interessant forretningsinnovation."
"Det gør det muligt at opkræve mindre betalinger fra ofre, som er næsten sikre på, at de ikke vil betale løsesummen, men ønsker at sikre sig i en dag eller to, mens de undersøger omfanget af bruddet," siger han.
John Bambenek, hovedtrusselsjæger hos Netenrich, påpeger, at ransomware-aktører har leget med en række forskellige modeller for at maksimere deres indtjening.
"Dette ligner næsten et eksperiment på, om de kan få lavere niveauer af penge," siger han. "Jeg ved bare ikke, hvorfor nogen ville betale dem noget, undtagen for at ødelægge alle data. Når det er sagt, eksperimenterer angribere, som enhver industri, med forretningsmodeller hele tiden."
Forårsager afbrydelse med almindelige taktikker
BlackByte er forblevet en af de mere almindelige ransomware-varianter, inficerer organisationer over hele verden og har tidligere brugt en ormefunktion, der ligner Contis forløber Ryuk. Men Harrison Van Riper, senior efterretningsanalytiker hos Red Canary, bemærker, at BlackByte blot er en af flere ransomware-as-a-service (RaaS) operationer, der har potentialet til at forårsage en masse forstyrrelser med relativt almindelige taktikker og teknikker.
"Som de fleste ransomware-operatører er de teknikker, BlackByte bruger, ikke specielt sofistikerede, men det betyder ikke, at de ikke har indflydelse," siger han. "Muligheden for at forlænge ofrets tidslinje er sandsynligvis et forsøg på at få i det mindste en form for betaling fra ofre, som måske ønsker ekstra tid af forskellige årsager: for at fastslå legitimiteten og omfanget af datatyveriet eller fortsætte den løbende interne diskussion om, hvordan man svare for at nævne et par årsager."
Tavakoli siger, at cybersikkerhedsprofessionelle bør se BlackByte mindre som en individuel statisk aktør og mere som et brand, der til enhver tid kan have en ny marketingkampagne knyttet til sig; han bemærker, at sæt af underliggende teknikker til at udføre angrebene sjældent ændrer sig.
"Den præcise malware eller indgangsvektor, der bruges af et givet ransomware-mærke, kan ændre sig over tid, men summen af teknikker, der bruges på tværs af dem alle, er ret konstant," siger han. "Få dine kontroller på plads, sørg for, at du har detektionsmuligheder for angreb, der er målrettet mod dine værdifulde data, og kør simulerede angreb for at teste dine mennesker, processer og procedurer."
BlackByte retter sig mod kritisk infrastruktur
Bambenek siger, at fordi BlackByte har lavet nogle fejl (såsom en fejl med at acceptere betalinger på det nye websted), kan det fra hans perspektiv være lidt lavere på færdighedsniveauet end andre.
"Men åben source-rapportering siger, at de stadig kompromitterer store mål, inklusive dem i kritisk infrastruktur," siger han. "Den dag kommer, hvor en betydelig infrastrukturudbyder bliver taget ned via ransomware, der vil skabe mere end blot et forsyningskædeproblem, end vi så med Colonial Pipeline."
I februar frigav FBI og US Secret Service
a fælles cybersikkerhedsrådgivning på BlackByte og advarede om, at angribere, der implementerede ransomware, havde inficeret organisationer i mindst tre amerikanske kritiske infrastruktursektorer.
