Το BlackByte Ransomware Gang επιστρέφει με παρουσία στο Twitter, κλιμακωτή τιμολόγηση

Η ομάδα ransomware BlackByte, η οποία έχει συνδέσεις με την Conti, επανεμφανίστηκε μετά από μια παύση με μια νέα παρουσία στα μέσα κοινωνικής δικτύωσης στο Twitter και νέες μεθόδους εκβιασμού που δανείστηκαν από την πιο γνωστή συμμορία LockBit 3.0.

Σύμφωνα με αναφορές, το Η ομάδα ransomware χρησιμοποιεί διάφορες λαβές Twitter to promote the updated extortion strategy, leak site, and data auctions. The new scheme lets victims to pay to extend the publishing of their stolen data by 24 hours ($5,000), download the data ($200,000) or destroy all the data ($300,000). It's a strategy the Ομάδα LockBit 3.0 ήδη πρωτοπόρος.

"It is not surprising BlackByte is taking a page out of LockBit's book by not only announcing a version 2 of their ransomware operation but also adopting the pay to delay, download, or destroy extortion model," says Nicole Hoffman, senior cyber-threat intelligence analyst at Digital Shadows, who calls the market for ransomware groups "competitive" and explains LockBit is one of the most prolific and active ransomware groups globally.

Ο Χόφμαν προσθέτει ότι είναι πιθανό η BlackByte να προσπαθεί να αποκτήσει ανταγωνιστικό πλεονέκτημα ή να προσπαθεί να κερδίσει την προσοχή των μέσων ενημέρωσης για να προσλάβει και να αναπτύξει τις δραστηριότητές της.

"Although the μοντέλο διπλού εκβιασμού is not broken by any means, this new model may be a way for groups to introduce multiple revenue streams," she says. "It will be interesting to see if this new model becomes a trend among other ransomware groups or just a fad that is not widely adopted."

Oliver Tavakoli, CTO at Vectra, calls this approach an "interesting business innovation."

"It allows smaller payments to be collected from victims who are almost certain they won’t pay the ransom but want to hedge for a day or two as they investigate the extent of the breach," he says.

Ο John Bambenek, κύριος κυνηγός απειλών στη Netenrich, επισημαίνει ότι οι ηθοποιοί ransomware έχουν παίξει με μια ποικιλία μοντέλων για να μεγιστοποιήσουν τα έσοδά τους.

"This almost looks like an experiment on if they can get lower tiers of money," he says. "I just don't know why anyone would pay them anything except for destroying all the data. That said, attackers, like any industry, are experimenting with business models all the time."

Προκαλώντας αναστάτωση με κοινές τακτικές

BlackByte has remained one of the more common ransomware variants, infecting organizations worldwide and previously employing a worm capability similar to Conti's precursor Ryuk. But Harrison Van Riper, senior intelligence analyst at Red Canary, notes that BlackByte is just one of several ransomware-as-a-service (RaaS) operations that have the potential to cause a lot of disruption with relatively common tactics and techniques.

"Like most ransomware operators, the techniques BlackByte uses are not particularly sophisticated, but that doesn’t mean they aren’t impactful," he says. "The option to extend the victim's timeline is likely an effort to get at least some sort of payment from victims who may want extra time for a variety of reasons: to determine legitimacy and scope of the data theft or continue ongoing internal discussion on how to respond, to name a couple of reasons."

Ο Tavakoli λέει ότι οι επαγγελματίες της κυβερνοασφάλειας θα πρέπει να βλέπουν το BlackByte λιγότερο ως μεμονωμένο στατικό παράγοντα και περισσότερο ως μια επωνυμία που μπορεί να έχει μια νέα καμπάνια μάρκετινγκ συνδεδεμένη με αυτό ανά πάσα στιγμή. σημειώνει ότι το σύνολο των υποκείμενων τεχνικών για την πραγματοποίηση των επιθέσεων σπάνια αλλάζει.

"The precise malware or entry vector utilized by a given ransomware brand may change over time, but the sum of techniques used across all of them are pretty constant," he says. "Get your controls in place, ensure you have detection capabilities for attacks which target your valuable data, and run simulated attacks to test your people, processes and procedures."

Το BlackByte στοχεύει την κρίσιμη υποδομή

Ο Bambenek λέει ότι επειδή το BlackByte έχει κάνει κάποια λάθη (όπως ένα σφάλμα με την αποδοχή πληρωμών στον νέο ιστότοπο), από την άποψή του μπορεί να είναι λίγο χαμηλότερο σε επίπεδο δεξιοτήτων από άλλα.

"However, open source reporting says they are still compromising big targets, including those in critical infrastructure," he says. "The day is coming when a significant infrastructure provider is taken down via ransomware that will create more than just a supply chain issue than we saw with Colonial Pipeline."

In February, the FBI and US Secret Service released a κοινή συμβουλευτική για την ασφάλεια στον κυβερνοχώρο στο BlackByte, προειδοποιώντας ότι οι εισβολείς που ανέπτυξαν το ransomware είχαν μολύνει οργανισμούς σε τουλάχιστον τρεις κρίσιμους τομείς υποδομής των ΗΠΑ.