A Contival kapcsolatban álló BlackByte ransomware csoport egy kihagyás után újjáéledt a Twitter új közösségi médiával és az ismertebb LockBit 3.0 bandától kölcsönzött új zsarolási módszerekkel.
A jelentések szerint a ransomware csoport különféle Twitter-fogantyúkat használ a frissített zsarolási stratégia, a kiszivárogtató webhely és az adataukciók népszerűsítése. Az új rendszer lehetővé teszi az áldozatok számára, hogy fizessenek azért, hogy 24 órával meghosszabbítsák ellopott adataik közzétételét (5,000 USD), letöltsék az adatokat (200,000 300,000 USD) vagy megsemmisítsék az összes adatot (XNUMX XNUMX USD). Ez egy stratégia a LockBit 3.0 csoport már úttörő volt.
„Nem meglepő, hogy a BlackByte kivesz egy oldalt a LockBit könyvéből azáltal, hogy nemcsak bejelenti a zsarolóprogram 2. verzióját, hanem a zsarolási modell késleltetéséért, letöltéséért vagy megsemmisítéséért fizetendő fizetést is elfogadja” – mondja Nicole Hoffman, a kiberfenyegetésekkel foglalkozó titkosszolgálat vezető munkatársa. a Digital Shadows elemzője, aki „versenyképesnek” nevezi a ransomware-csoportok piacát, és elmagyarázza, hogy a LockBit az egyik legtermékenyebb és legaktívabb zsarolóprogram-csoport világszerte.
Hoffman hozzáteszi, lehetséges, hogy a BlackByte versenyelőnyre tesz szert, vagy megpróbálja felkelteni a média figyelmét, hogy toborozzon és bővítse tevékenységét.
"Habár a kettős zsarolási modell semmiképpen sem törik meg, ez az új modell lehetőséget jelenthet a csoportok számára, hogy többféle bevételi forrást vezessenek be” – mondja. "Érdekes lesz látni, hogy ez az új modell trend lesz-e más zsarolóvírus-csoportok körében, vagy csak egy divat, amelyet nem alkalmaznak széles körben."
Oliver Tavakoli, a Vectra technológiai igazgatója ezt a megközelítést „érdekes üzleti innovációnak” nevezi.
"Lehetővé teszi, hogy kisebb összegeket szedjenek be azoktól az áldozatoktól, akik szinte biztosak abban, hogy nem fizetik ki a váltságdíjat, de fedezni akarnak egy-két napig, miközben kivizsgálják a jogsértés mértékét" - mondja.
John Bambenek, a Netenrich fő fenyegetésvadásza rámutat, hogy a zsarolóvírus-szereplők különféle modellekkel játszottak, hogy maximalizálják bevételeiket.
„Ez majdnem olyan kísérletnek tűnik, hogy kaphatnak-e alacsonyabb összegű pénzt” – mondja. „Csak azt nem tudom, miért fizetne bárki bármit is nekik, kivéve az összes adat megsemmisítéséért. Ennek ellenére a támadók, mint minden iparág, folyamatosan kísérleteznek üzleti modellekkel.”
Zavarok előidézése közös taktikákkal
A BlackByte továbbra is az egyik legelterjedtebb zsarolóvírus-változat maradt, amely világszerte megfertőzi a szervezeteket, és korábban a Conti előfutárához, a Ryukhoz hasonló féregképességet alkalmaz. Harrison Van Riper, a Red Canary vezető hírszerzési elemzője azonban megjegyzi, hogy a BlackByte csak egy a számos ransomware-as-a-service (RaaS) művelet közül, amelyek viszonylag gyakori taktikákkal és technikákkal sok fennakadást okozhatnak.
„A legtöbb zsarolóvírus-üzemeltetőhöz hasonlóan a BlackByte által használt technikák sem különösebben kifinomultak, de ez nem jelenti azt, hogy ne lennének hatásosak” – mondja. „Az áldozat időbeosztásának meghosszabbításának lehetősége valószínűleg arra törekszik, hogy legalább valamiféle kifizetést kapjanak az áldozatok, akik több okból is több időt igényelhetnek: az adatlopás jogosságának és terjedelmének meghatározása, vagy a folyamatban lévő belső megbeszélések folytatása arról, hogyan válaszoljon, hogy néhány okot említsek."
Tavakoli szerint a kiberbiztonsági szakembereknek kevésbé kell a BlackByte-ra tekinteniük egyéni statikus szereplőnek, és inkább márkának, amelyhez bármikor új marketingkampány köthető; megjegyzi, hogy a támadások végrehajtásának alapjául szolgáló technikák ritkán változnak.
„Az adott zsarolóprogram-márka által használt pontos rosszindulatú program vagy belépési vektor idővel változhat, de az összes használt technikák összege meglehetősen állandó” – mondja. „Helyezze be a vezérlőket, győződjön meg arról, hogy rendelkezik az értékes adatait célzó támadások észlelési képességeivel, és futtasson szimulált támadásokat az emberek, folyamatok és eljárások tesztelésére.”
A BlackByte a kritikus infrastruktúrát célozza meg
Bambenek azt mondja, hogy mivel a BlackByte elkövetett néhány hibát (például hiba történt a fizetések elfogadásakor az új oldalon), az ő szemszögéből nézve a képzettségi szintje kissé alacsonyabb lehet, mint másoké.
"A nyílt forráskódú jelentések azonban azt mondják, hogy továbbra is veszélyeztetik a nagy célokat, beleértve a kritikus infrastruktúrában lévőket is" - mondja. „Eljön a nap, amikor egy jelentős infrastruktúra-szolgáltatót leállítanak egy zsarolóvírus által, amely nem csupán az ellátási lánc problémáját okozza, mint amit a Colonial Pipeline esetében láttunk.”
Februárban az FBI és az amerikai titkosszolgálat nyilvánosságra hozta
a közös kiberbiztonsági tanácsadó a BlackByte-on, figyelmeztetve, hogy a ransomware-t telepítő támadók legalább három egyesült államokbeli kritikus infrastruktúra-szektorban fertőzték meg a szervezeteket.
