Die Ransomware-Gruppe BlackByte, die Verbindungen zu Conti hat, ist nach einer Pause mit einer neuen Social-Media-Präsenz auf Twitter und neuen Erpressungsmethoden, die von der bekannteren LockBit 3.0-Bande übernommen wurden, wieder aufgetaucht.
Berichten zufolge ist die Die Ransomware-Gruppe verwendet verschiedene Twitter-Handles um die aktualisierte Erpressungsstrategie, die Leak-Site und Datenauktionen zu bewerben. Mit dem neuen System können Opfer zahlen, um die Veröffentlichung ihrer gestohlenen Daten um 24 Stunden zu verlängern (5,000 US-Dollar), die Daten herunterzuladen (200,000 US-Dollar) oder alle Daten zu vernichten (300,000 US-Dollar). Es ist eine Strategie LockBit 3.0-Gruppe bereits Pionierarbeit geleistet.
„Es ist nicht verwunderlich, dass sich BlackByte an LockBit orientiert, indem es nicht nur Version 2 seiner Ransomware-Operation ankündigt, sondern auch das Erpressungsmodell „Bezahlen zum Verzögern, Herunterladen oder Zerstören“ übernimmt“, sagt Nicole Hoffman, Senior Cyber-Threat Intelligence Analyst bei Digital Shadows, der den Markt für Ransomware-Gruppen als „wettbewerbsfähig“ bezeichnet und erklärt, dass LockBit eine der produktivsten und aktivsten Ransomware-Gruppen weltweit ist.
Hoffman fügt hinzu, dass es möglich ist, dass BlackByte versucht, sich einen Wettbewerbsvorteil zu verschaffen oder die Aufmerksamkeit der Medien auf sich zu ziehen, um neue Mitarbeiter anzuwerben und seinen Betrieb auszubauen.
"Obwohl die Doppel-Erpressungsmodell „Keineswegs kaputt ist, könnte dieses neue Modell eine Möglichkeit für Gruppen sein, mehrere Einnahmequellen einzuführen“, sagt sie. „Es wird interessant sein zu sehen, ob dieses neue Modell bei anderen Ransomware-Gruppen zu einem Trend wird oder nur eine Modeerscheinung ist.“ nicht weit verbreitet.“
Oliver Tavakoli, CTO bei Vectra, nennt diesen Ansatz eine „interessante Geschäftsinnovation“.
„Damit können kleinere Zahlungen von Opfern eingezogen werden, die fast sicher sind, dass sie das Lösegeld nicht zahlen werden, sich aber ein oder zwei Tage lang absichern möchten, während sie das Ausmaß des Verstoßes untersuchen“, sagt er.
John Bambenek, Principal Threat Hunter bei Netenrich, weist darauf hin, dass Ransomware-Akteure mit verschiedenen Modellen herumgespielt haben, um ihre Einnahmen zu maximieren.
„Das sieht fast wie ein Experiment aus, ob sie niedrigere Geldbeträge bekommen können“, sagt er. „Ich weiß einfach nicht, warum ihnen irgendjemand etwas anderes bezahlen sollte als die Zerstörung aller Daten. Allerdings experimentieren Angreifer, wie jede Branche auch, ständig mit Geschäftsmodellen.“
Mit gängigen Taktiken Störungen verursachen
BlackByte ist nach wie vor eine der am weitesten verbreiteten Ransomware-Varianten, die Organisationen auf der ganzen Welt infiziert und zuvor eine Wurmfähigkeit ähnlich dem Vorgänger Ryuk von Conti eingesetzt hat. Aber Harrison Van Riper, leitender Geheimdienstanalyst bei Red Canary, stellt fest, dass BlackByte nur eine von mehreren Ransomware-as-a-Service (RaaS)-Operationen ist, die mit relativ gängigen Taktiken und Techniken das Potenzial haben, große Störungen zu verursachen.
„Wie die meisten Ransomware-Betreiber sind die Techniken, die BlackByte verwendet, nicht besonders ausgefeilt, aber das bedeutet nicht, dass sie nicht wirkungsvoll sind“, sagt er. „Die Option, die Frist für das Opfer zu verlängern, ist wahrscheinlich ein Versuch, zumindest eine Art Zahlung von Opfern zu erhalten, die aus verschiedenen Gründen zusätzliche Zeit wünschen: um die Legitimität und das Ausmaß des Datendiebstahls festzustellen oder um die laufende interne Diskussion darüber fortzusetzen, wie das geht.“ antworten, um nur einige Gründe zu nennen.“
Laut Tavakoli sollten Cybersicherheitsexperten BlackByte weniger als einen einzelnen statischen Akteur betrachten, sondern vielmehr als eine Marke, mit der jederzeit eine neue Marketingkampagne verknüpft werden kann; Er stellt fest, dass sich die zugrunde liegenden Techniken zur Durchführung der Angriffe selten ändern.
„Die genaue Malware oder der Eintrittsvektor, der von einer bestimmten Ransomware-Marke verwendet wird, kann sich im Laufe der Zeit ändern, aber die Summe der bei allen verwendeten Techniken ist ziemlich konstant“, sagt er. „Setzen Sie Ihre Kontrollen ein, stellen Sie sicher, dass Sie über Erkennungsmöglichkeiten für Angriffe verfügen, die auf Ihre wertvollen Daten abzielen, und führen Sie simulierte Angriffe durch, um Ihre Mitarbeiter, Prozesse und Verfahren zu testen.“
BlackByte zielt auf kritische Infrastruktur ab
Da BlackByte einige Fehler gemacht hat (z. B. einen Fehler bei der Annahme von Zahlungen auf der neuen Website), sagt Bambenek, sei das Qualifikationsniveau seiner Meinung nach möglicherweise etwas niedriger als bei anderen.
„Allerdings besagen Open-Source-Berichte, dass sie immer noch große Ziele gefährden, darunter auch solche in kritischen Infrastrukturen“, sagt er. „Der Tag kommt, an dem ein bedeutender Infrastrukturanbieter durch Ransomware lahmgelegt wird, was zu mehr als nur einem Lieferkettenproblem führt, wie wir es bei Colonial Pipeline gesehen haben.“
Im Februar veröffentlichten das FBI und der US-Geheimdienst A gemeinsame Cybersicherheitsberatung auf BlackByte warnend, dass Angreifer, die die Ransomware einsetzen, Organisationen in mindestens drei kritischen Infrastruktursektoren der USA infiziert haben.
