Il gruppo ransomware BlackByte, che ha collegamenti con Conti, è riemerso dopo una pausa con una nuova presenza sui social media su Twitter e nuovi metodi di estorsione presi in prestito dalla più nota gang LockBit 3.0.
Secondo i rapporti, il gruppo ransomware utilizza vari handle di Twitter promuovere la strategia di estorsione aggiornata, il sito di fuga di notizie e le aste di dati. Il nuovo schema consente alle vittime di pagare per estendere di 24 ore la pubblicazione dei dati rubati (5,000 dollari), scaricare i dati (200,000 dollari) o distruggere tutti i dati (300,000 dollari). È una strategia Gruppo LockBit 3.0 già sperimentato.
"Non sorprende che BlackByte stia prendendo spunto dal libro di LockBit non solo annunciando una versione 2 della sua operazione ransomware, ma anche adottando il modello di estorsione a pagamento per ritardare, scaricare o distruggere", afferma Nicole Hoffman, senior cyber-threat intelligence. analista di Digital Shadows, che definisce "competitivo" il mercato dei gruppi ransomware e spiega che LockBit è uno dei gruppi ransomware più prolifici e attivi a livello globale.
Hoffman aggiunge che è possibile che BlackByte stia cercando di ottenere un vantaggio competitivo o che stia cercando di attirare l'attenzione dei media per reclutare e far crescere le sue operazioni.
"Sebbene il modello a doppia estorsione non viene interrotto in alcun modo, questo nuovo modello potrebbe essere un modo per i gruppi di introdurre più flussi di entrate", afferma. "Sarà interessante vedere se questo nuovo modello diventerà una tendenza tra gli altri gruppi di ransomware o solo una moda passeggera non ampiamente adottato."
Oliver Tavakoli, CTO di Vectra, definisce questo approccio una "interessante innovazione aziendale".
"Permette di riscuotere pagamenti più piccoli da parte delle vittime che sono quasi certe che non pagheranno il riscatto ma vogliono proteggersi per un giorno o due mentre indagano sull'entità della violazione", afferma.
John Bambenek, principale cacciatore di minacce di Netenrich, sottolinea che gli attori di ransomware hanno giocato con una varietà di modelli per massimizzare le proprie entrate.
"Sembra quasi un esperimento sulla possibilità di ottenere livelli di denaro inferiori", afferma. "Non so proprio perché qualcuno dovrebbe pagare qualcosa se non per distruggere tutti i dati. Detto questo, gli aggressori, come ogni settore, sperimentano continuamente modelli di business."
Causando interruzioni con le tattiche comuni
BlackByte è rimasta una delle varianti di ransomware più comuni, infettando organizzazioni in tutto il mondo e precedentemente impiegando una capacità worm simile al precursore di Conti Ryuk. Ma Harrison Van Riper, analista senior di intelligence presso Red Canary, osserva che BlackByte è solo una delle numerose operazioni di ransomware-as-a-service (RaaS) che hanno il potenziale di causare molti disagi con tattiche e tecniche relativamente comuni.
"Come la maggior parte degli operatori di ransomware, le tecniche utilizzate da BlackByte non sono particolarmente sofisticate, ma ciò non significa che non abbiano un impatto significativo", afferma. "L'opzione di estendere il periodo di tempo della vittima è probabilmente uno sforzo per ottenere almeno una sorta di pagamento dalle vittime che potrebbero volere più tempo per una serie di ragioni: per determinare la legittimità e la portata del furto di dati o continuare la discussione interna in corso su come farlo. rispondere, per citare un paio di ragioni."
Tavakoli afferma che i professionisti della sicurezza informatica dovrebbero considerare BlackByte meno come un attore statico individuale e più come un marchio che può avere una nuova campagna di marketing legata ad esso in qualsiasi momento; nota che l'insieme delle tecniche sottostanti per portare a termine gli attacchi cambia di rado.
"L'esatto malware o vettore di ingresso utilizzato da un determinato marchio di ransomware può cambiare nel tempo, ma la somma delle tecniche utilizzate da tutti loro è piuttosto costante", afferma. "Metti in atto i tuoi controlli, assicurati di disporre di capacità di rilevamento per gli attacchi che prendono di mira i tuoi dati preziosi ed esegui attacchi simulati per testare persone, processi e procedure."
BlackByte prende di mira le infrastrutture critiche
Bambenek afferma che poiché BlackByte ha commesso alcuni errori (come un errore nell'accettare pagamenti nel nuovo sito), dal suo punto di vista potrebbe essere un po' inferiore al livello di abilità rispetto ad altri.
"Tuttavia, i rapporti open source affermano che stanno ancora compromettendo grandi obiettivi, compresi quelli nelle infrastrutture critiche", afferma. "Sta arrivando il giorno in cui un importante fornitore di infrastrutture verrà distrutto tramite un ransomware che creerà più di un semplice problema di catena di fornitura rispetto a quello che abbiamo visto con Colonial Pipeline."
A febbraio, l’FBI e i servizi segreti statunitensi hanno rilasciato un consulenza congiunta sulla sicurezza informatica su BlackByte, avvertendo che gli aggressori che hanno distribuito il ransomware avevano infettato organizzazioni in almeno tre settori delle infrastrutture critiche degli Stati Uniti.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
