Le groupe de rançongiciels BlackByte, qui a des liens avec Conti, a refait surface après une interruption avec une nouvelle présence sur les réseaux sociaux sur Twitter et de nouvelles méthodes d'extorsion empruntées au gang plus connu LockBit 3.0.
Selon les rapports, le Le groupe de rançongiciels utilise divers identifiants Twitter pour promouvoir la stratégie d'extorsion mise à jour, le site de fuite et les enchères de données. Le nouveau système permet aux victimes de payer pour prolonger de 24 heures la publication de leurs données volées (5,000 200,000 $), télécharger les données (300,000 XNUMX $) ou détruire toutes les données (XNUMX XNUMX $). C'est une stratégie Groupe LockBit 3.0 déjà pionnier.
"Il n'est pas surprenant que BlackByte s'inspire du livre de LockBit non seulement en annonçant une version 2 de son opération de ransomware, mais en adoptant également le modèle d'extorsion payant pour retarder, télécharger ou détruire", déclare Nicole Hoffman, responsable du renseignement sur les cybermenaces. analyste chez Digital Shadows, qui qualifie le marché des groupes de ransomwares de « compétitif » et explique que LockBit est l'un des groupes de ransomwares les plus prolifiques et les plus actifs au monde.
Hoffman ajoute qu'il est possible que BlackByte essaie d'obtenir un avantage concurrentiel ou d'attirer l'attention des médias pour recruter et développer ses opérations.
"Bien que le modèle à double extorsion n'est en aucun cas rompu, ce nouveau modèle pourrait être un moyen pour les groupes d'introduire de multiples sources de revenus », dit-elle. « Il sera intéressant de voir si ce nouveau modèle devient une tendance parmi d'autres groupes de ransomwares ou simplement une mode qui est pas largement adopté.
Oliver Tavakoli, CTO chez Vectra, qualifie cette approche d'« innovation commerciale intéressante ».
"Cela permet de percevoir des paiements plus modestes auprès des victimes qui sont presque certaines de ne pas payer la rançon mais qui souhaitent se protéger pendant un jour ou deux le temps d'enquêter sur l'étendue de la violation", dit-il.
John Bambenek, principal chasseur de menaces chez Netenrich, souligne que les acteurs des ransomwares ont joué avec une variété de modèles pour maximiser leurs revenus.
"Cela ressemble presque à une expérience visant à déterminer s'ils peuvent obtenir des niveaux d'argent inférieurs", dit-il. "Je ne sais tout simplement pas pourquoi quelqu'un les paierait quoi que ce soit, sauf pour détruire toutes les données. Cela dit, les attaquants, comme toute industrie, expérimentent constamment des modèles économiques."
Causer des perturbations avec des tactiques courantes
BlackByte est resté l'une des variantes de ransomware les plus courantes, infectant des organisations du monde entier et employant auparavant une capacité de ver similaire à celle du précurseur de Conti, Ryuk. Mais Harrison Van Riper, analyste principal du renseignement chez Red Canary, note que BlackByte n'est qu'une des nombreuses opérations de type ransomware-as-a-service (RaaS) susceptibles de provoquer de nombreuses perturbations avec des tactiques et techniques relativement courantes.
"Comme la plupart des opérateurs de ransomwares, les techniques utilisées par BlackByte ne sont pas particulièrement sophistiquées, mais cela ne veut pas dire qu'elles n'ont pas d'impact", dit-il. "L'option de prolonger le délai de la victime est probablement un effort pour obtenir au moins une sorte de paiement de la part des victimes qui pourraient vouloir plus de temps pour diverses raisons : déterminer la légitimité et la portée du vol de données ou poursuivre la discussion interne en cours sur la manière de répondre, pour citer quelques raisons.
Tavakoli dit que les professionnels de la cybersécurité devraient considérer BlackByte moins comme un acteur statique individuel et plus comme une marque qui peut être liée à une nouvelle campagne marketing à tout moment ; il note que l'ensemble des techniques sous-jacentes pour mener à bien les attaques changent rarement.
« Le malware précis ou le vecteur d'entrée utilisé par une marque de ransomware donnée peut changer avec le temps, mais la somme des techniques utilisées dans chacun d'eux est assez constante », dit-il. "Mettez vos contrôles en place, assurez-vous de disposer de capacités de détection des attaques qui ciblent vos données précieuses et exécutez des attaques simulées pour tester vos collaborateurs, vos processus et vos procédures."
BlackByte cible les infrastructures critiques
Bambenek dit que parce que BlackByte a fait quelques erreurs (comme une erreur d'acceptation des paiements sur le nouveau site), de son point de vue, il peut être un peu plus bas au niveau des compétences que d'autres.
"Cependant, les rapports open source indiquent qu'ils compromettent toujours de grandes cibles, y compris celles situées dans les infrastructures critiques", dit-il. "Le jour arrive où un important fournisseur d'infrastructures sera mis hors service via un ransomware, ce qui créera plus qu'un simple problème de chaîne d'approvisionnement que celui que nous avons vu avec Colonial Pipeline."
En février, le FBI et les services secrets américains ont publié un conseil conjoint en cybersécurité sur BlackByte, avertissant que les attaquants déployant le ransomware avaient infecté des organisations dans au moins trois secteurs d'infrastructure critiques aux États-Unis.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
