Grup ransomware BlackByte, yang memiliki koneksi ke Conti, muncul kembali setelah jeda dengan kehadiran media sosial baru di Twitter dan metode pemerasan baru yang dipinjam dari geng LockBit 3.0 yang lebih terkenal.
Menurut laporan, grup ransomware menggunakan berbagai akun Twitter untuk mempromosikan strategi pemerasan yang diperbarui, situs kebocoran, dan lelang data. Skema baru ini memungkinkan korban membayar untuk memperpanjang publikasi data mereka yang dicuri selama 24 jam ($5,000), mendownload data ($200,000) atau menghancurkan semua data ($300,000). Itu adalah strategi Grup LockBit 3.0 sudah dirintis.
“Tidak mengherankan jika BlackByte mengambil contoh dari LockBit dengan tidak hanya mengumumkan versi 2 dari operasi ransomware mereka tetapi juga mengadopsi pembayaran untuk menunda, mengunduh, atau menghancurkan model pemerasan,” kata Nicole Hoffman, senior intelijen ancaman dunia maya. analis di Digital Shadows, yang menyebut pasar kelompok ransomware "kompetitif" dan menjelaskan LockBit adalah salah satu kelompok ransomware paling produktif dan aktif secara global.
Hoffman menambahkan ada kemungkinan BlackByte mencoba mendapatkan keunggulan kompetitif atau mencoba mendapatkan perhatian media untuk merekrut dan mengembangkan operasinya.
"Walaupun model pemerasan ganda tidak rusak sama sekali, model baru ini mungkin menjadi cara bagi kelompok untuk memperkenalkan berbagai aliran pendapatan,” katanya. “Akan menarik untuk melihat apakah model baru ini menjadi tren di antara kelompok ransomware lain atau hanya sekadar iseng-iseng saja. tidak diadopsi secara luas."
Oliver Tavakoli, CTO di Vectra, menyebut pendekatan ini sebagai "inovasi bisnis yang menarik".
“Hal ini memungkinkan pembayaran yang lebih kecil untuk dikumpulkan dari korban yang hampir yakin bahwa mereka tidak akan membayar uang tebusan namun ingin melakukan lindung nilai selama satu atau dua hari saat mereka menyelidiki sejauh mana pelanggaran tersebut,” katanya.
John Bambenek, pemburu ancaman utama di Netenrich, menunjukkan bahwa pelaku ransomware telah bermain-main dengan berbagai model untuk memaksimalkan pendapatan mereka.
“Ini hampir seperti eksperimen apakah mereka bisa mendapatkan jumlah uang yang lebih rendah,” katanya. "Saya hanya tidak tahu mengapa ada orang yang mau membayar mereka kecuali menghancurkan semua data. Artinya, penyerang, seperti industri lainnya, terus bereksperimen dengan model bisnis."
Menyebabkan Gangguan Dengan Taktik Umum
BlackByte tetap menjadi salah satu varian ransomware yang paling umum, menginfeksi organisasi di seluruh dunia dan sebelumnya menggunakan kemampuan worm yang mirip dengan pendahulu Conti, Ryuk. Namun Harrison Van Riper, analis intelijen senior di Red Canary, mencatat bahwa BlackByte hanyalah salah satu dari beberapa operasi ransomware-as-a-service (RaaS) yang berpotensi menyebabkan banyak gangguan dengan taktik dan teknik yang relatif umum.
“Seperti kebanyakan operator ransomware, teknik yang digunakan BlackByte tidak terlalu canggih, namun bukan berarti tidak berdampak,” katanya. “Pilihan untuk memperpanjang jangka waktu korban kemungkinan besar merupakan upaya untuk mendapatkan setidaknya semacam pembayaran dari korban yang mungkin menginginkan waktu tambahan karena berbagai alasan: untuk menentukan legitimasi dan ruang lingkup pencurian data atau melanjutkan diskusi internal yang sedang berlangsung tentang cara melakukannya. merespons, sebutkan beberapa alasannya."
Tavakoli mengatakan para profesional keamanan siber harus memandang BlackByte bukan sebagai aktor statis individual, melainkan sebagai merek yang dapat mengikat kampanye pemasaran baru kapan saja; dia mencatat serangkaian teknik dasar untuk melakukan serangan jarang berubah.
“Malware atau vektor entri yang tepat yang digunakan oleh merek ransomware tertentu dapat berubah seiring waktu, namun jumlah teknik yang digunakan pada semuanya cukup konstan,” katanya. "Siapkan kendali Anda, pastikan Anda memiliki kemampuan deteksi terhadap serangan yang menargetkan data berharga Anda, dan jalankan simulasi serangan untuk menguji orang, proses, dan prosedur Anda."
BlackByte Menargetkan Infrastruktur Kritis
Bambenek mengatakan bahwa karena BlackByte telah membuat beberapa kesalahan (seperti kesalahan dalam menerima pembayaran di situs baru), dari sudut pandangnya, tingkat keahliannya mungkin sedikit lebih rendah dibandingkan yang lain.
“Namun, pelaporan sumber terbuka mengatakan mereka masih mengkompromikan target-target besar, termasuk target-target di bidang infrastruktur penting,” katanya. “Harinya akan tiba ketika penyedia infrastruktur besar akan dihancurkan melalui ransomware yang akan menciptakan lebih dari sekedar masalah rantai pasokan dibandingkan yang kita lihat pada Colonial Pipeline.”
Pada bulan Februari, FBI dan Dinas Rahasia AS merilisnya A penasehat keamanan siber bersama di BlackByte, memperingatkan bahwa penyerang yang menyebarkan ransomware telah menginfeksi organisasi di setidaknya tiga sektor infrastruktur penting AS.
