گروه باجافزار BlackByte که با Conti ارتباط دارد، پس از یک وقفه با حضور در شبکههای اجتماعی جدید در توییتر و روشهای جدید اخاذی که از باند معروف LockBit 3.0 قرض گرفته شده بود، دوباره ظاهر شد.
بر اساس گزارش ها ، گروه باج افزار از دسته های مختلف توییتر استفاده می کند برای ترویج استراتژی به روز اخاذی، سایت نشت و حراج داده ها. این طرح جدید به قربانیان این امکان را می دهد که برای تمدید انتشار داده های سرقت شده خود تا 24 ساعت (5,000 دلار)، دانلود داده ها (200,000 دلار) یا نابود کردن همه داده ها (300,000 دلار) هزینه بپردازند. این یک استراتژی است گروه LockBit 3.0 قبلا پیشگام بود
نیکول هافمن، کارشناس ارشد اطلاعات تهدیدات سایبری میگوید: «تعجبی ندارد که بلکبایت نه تنها با اعلام نسخه ۲ عملیات باجافزار خود، بلکه با پرداخت هزینهای برای تأخیر، دانلود، یا از بین بردن مدل اخاذی، صفحهای از کتاب LockBit را حذف میکند». تحلیلگر Digital Shadows که بازار گروههای باجافزار را «رقابتی» مینامد و توضیح میدهد که LockBit یکی از پرکارترین و فعالترین گروههای باجافزار در سطح جهان است.
هافمن اضافه می کند که این امکان وجود دارد که بلک بایت در تلاش برای به دست آوردن مزیت رقابتی یا تلاش برای جلب توجه رسانه ها برای جذب نیرو و توسعه عملیات خود باشد.
"اگر چه مدل اخاذی مضاعف به هیچ وجه شکسته نشده است، این مدل جدید ممکن است راهی برای گروهها باشد تا جریانهای درآمدی متعددی را معرفی کنند.» او میگوید: «جالب است که ببینیم آیا این مدل جدید به یک ترند در میان سایر گروههای باجافزار تبدیل میشود یا فقط یک مد است. به طور گسترده پذیرفته نشده است."
الیور توکلی، مدیر ارشد فناوری Vectra، این رویکرد را یک "نوآوری جالب تجاری" می نامد.
او میگوید: «این اجازه میدهد تا از قربانیانی که تقریباً مطمئن هستند باج را پرداخت نمیکنند، پرداختهای کوچکتری دریافت کنند، اما میخواهند برای یک یا دو روز در حین بررسی میزان نقض، از آنها جلوگیری کنند.»
جان بامبنک، شکارچی اصلی تهدید در Netenrich، اشاره می کند که بازیگران باج افزار برای به حداکثر رساندن درآمد خود با مدل های مختلف بازی کرده اند.
او میگوید: «این تقریباً آزمایشی به نظر میرسد که آیا آنها میتوانند پول کمتری دریافت کنند یا خیر. من نمیدانم چرا کسی جز از بین بردن تمام دادهها به آنها پولی میپردازد. با این اوصاف، مهاجمان، مانند هر صنعت، همیشه در حال آزمایش مدلهای تجاری هستند.
ایجاد اختلال با تاکتیک های رایج
BlackByte یکی از رایجترین گونههای باجافزار باقی مانده است که سازمانها را در سرتاسر جهان آلوده میکند و قبلاً از قابلیت کرمی مشابه Ryuk پیشساز Conti استفاده میکرد. اما هریسون ون ریپر، تحلیلگر ارشد اطلاعاتی در Red Canary، خاطرنشان میکند که BlackByte تنها یکی از چندین عملیات باجافزار بهعنوان یک سرویس (RaaS) است که با تاکتیکها و تکنیکهای نسبتاً رایج میتواند اختلالات زیادی ایجاد کند.
او میگوید: «مانند اکثر اپراتورهای باجافزار، تکنیکهایی که بلکبایت استفاده میکند بسیار پیچیده نیستند، اما این بدان معنا نیست که تأثیرگذار نیستند». «گزینه تمدید جدول زمانی قربانی احتمالاً تلاشی برای دریافت حداقل نوعی پرداخت از قربانیانی است که ممکن است به دلایل مختلف وقت اضافی بخواهند: تعیین مشروعیت و دامنه سرقت داده یا ادامه بحث داخلی مداوم در مورد چگونگی برای نام بردن چند دلیل، پاسخ دهید."
توکلی میگوید متخصصان امنیت سایبری باید بلکبایت را کمتر بهعنوان یک بازیگر ثابت و بیشتر بهعنوان برندی ببینند که میتواند در هر زمانی یک کمپین بازاریابی جدید به آن گره بزند. او اشاره می کند که مجموعه ای از تکنیک های اساسی برای انجام حملات به ندرت تغییر می کند.
او میگوید: «بدافزار دقیق یا بردار ورودی مورد استفاده توسط یک برند باجافزار معین ممکن است در طول زمان تغییر کند، اما مجموع تکنیکهای مورد استفاده در همه آنها تقریباً ثابت است. "کنترل های خود را در جای خود قرار دهید، اطمینان حاصل کنید که قابلیت های تشخیص حملاتی را دارید که داده های ارزشمند شما را هدف قرار می دهند، و حملات شبیه سازی شده را برای آزمایش افراد، فرآیندها و رویه های خود اجرا کنید."
BlackByte زیرساخت های حیاتی را هدف قرار می دهد
بامبنک میگوید که چون بلکبایت برخی اشتباهات را مرتکب شده است (مانند خطا در پذیرش پرداختها در سایت جدید)، از دیدگاه او ممکن است در سطح مهارت کمی پایینتر از سایرین باشد.
او میگوید: «با این حال، گزارشهای منبع باز میگوید که آنها همچنان اهداف بزرگ، از جمله زیرساختهای حیاتی را به خطر میاندازند». "روزی فرا می رسد که یک تامین کننده زیرساخت قابل توجه از طریق باج افزار حذف می شود که چیزی بیش از یک مشکل زنجیره تامین بیش از آنچه در Colonial Pipeline شاهد بودیم، ایجاد می کند."
در ماه فوریه، اف بی آی و سرویس مخفی ایالات متحده یک مشاوره مشترک امنیت سایبری در بلکبایت، هشدار داد که مهاجمانی که این باجافزار را مستقر میکنند، سازمانهایی را در حداقل سه بخش زیرساخت حیاتی ایالات متحده آلوده کردهاند.