Conti とつながりのある BlackByte ランサムウェア グループは、活動休止の後、Twitter での新しいソーシャル メディアのプレゼンスと、より有名な LockBit 3.0 ギャングから借用した新しい恐喝手法で復活しました。
報告によると、 ランサムウェア グループはさまざまな Twitter ハンドルを使用しています 最新の恐喝戦略、漏洩サイト、データオークションを促進するため。新しいスキームでは、被害者は、盗まれたデータの公開を 24 時間延長する (5,000 ドル)、データをダウンロードする (200,000 万ドル)、またはすべてのデータを破棄する (300,000 万ドル) 場合に料金を支払うことができます。それは戦略です LockBit 3.0 グループ すでに開拓されています。
「BlackByte がランサムウェア作戦のバージョン 2 を発表しただけでなく、恐喝モデルの遅延、ダウンロード、または破壊に対して報酬を支払うことによって、LockBit の本から XNUMX ページを取り上げているのは驚くべきことではありません」と上級サイバー脅威インテリジェンスのニコール・ホフマン氏は述べています。 Digital Shadows のアナリストは、ランサムウェア グループの市場は「競争的」であると呼び、LockBit は世界で最も多作で活発なランサムウェア グループの XNUMX つであると説明しています。
Hoffman 氏は、BlackByte が競争上の優位性を得ようとしているか、メディアの注目を集めて事業を拡大しようとしている可能性があると付け加えています。
「とはいえ、 二重恐喝モデル 「決して壊れているわけではありませんが、この新しいモデルは、グループが複数の収益源を導入する方法になる可能性があります。」と彼女は言います。「この新しいモデルが他のランサムウェア グループの間でトレンドになるのか、それとも単なる流行になるのかを見るのは興味深いでしょう」広く採用されていません。」
Vectra の CTO、Oliver Tavakoli 氏は、このアプローチを「興味深いビジネス イノベーション」と呼んでいます。
「これにより、身代金を支払わないことはほぼ確実だが、侵害の程度を調査する際に1~2日のリスクを回避したい被害者から、少額の支払いを徴収できるようになる」と同氏は言う。
Netenrich の主任脅威ハンターである John Bambanek 氏は、ランサムウェア攻撃者が収益を最大化するためにさまざまなモデルを試してきたと指摘しています。
「これはほとんど、より低い段階の資金を獲得できるかどうかの実験のようだ」と彼は言う。 「すべてのデータを破壊すること以外に、なぜお金を払う人がいるのかわかりません。とはいえ、他の業界と同様、攻撃者は常にビジネス モデルを実験しています。」
一般的な戦術で混乱を引き起こす
BlackByte は依然として最も一般的なランサムウェアの亜種の 1 つであり、世界中の組織に感染し、以前は Conti の前身である Ryuk と同様のワーム機能を使用していました。しかし、Red CanaryのシニアインテリジェンスアナリストであるHarrison Van Riper氏は、BlackByteは、比較的一般的な戦術や手法で多大な混乱を引き起こす可能性のある、サービスとしてのランサムウェア(RaaS)活動の1つにすぎないと指摘する。
「ほとんどのランサムウェア事業者と同様、BlackByte が使用する手法は特に洗練されたものではありませんが、影響力がないという意味ではありません」と彼は言います。 「被害者のタイムラインを延長するという選択肢は、データ盗難の正当性や範囲を判断するため、あるいはデータ盗難の方法について継続的な内部議論を続けるためなど、さまざまな理由で追加の時間を求める被害者から少なくとも何らかの支払いを得ようとする取り組みである可能性が高い」理由をいくつか挙げて答えてください。」
Tavakoli は、サイバーセキュリティの専門家は、BlackByte を個々の静的なアクターとしてではなく、いつでも関連付けられた新しいマーケティング キャンペーンを持つことができるブランドとして見なすべきだと述べています。 彼は、攻撃を実行するための基本的な一連のテクニックはめったに変わらないと述べています。
「特定のランサムウェア ブランドが利用する正確なマルウェアや侵入経路は時間の経過とともに変化する可能性がありますが、それらすべてで使用される技術の合計はほぼ一定です」と彼は言います。 「コントロールを整備し、貴重なデータを標的とした攻撃の検出機能を確保し、模擬攻撃を実行して人材、プロセス、手順をテストします。」
BlackByte が重要インフラを標的に
Bambenek 氏は、BlackByte はいくつかの間違い (新しいサイトで支払いを受け入れる際のエラーなど) を犯したため、彼の観点からすると、BlackByte は他のサイトよりもスキル レベルが少し低い可能性があると述べています。
「しかし、オープンソースの報告によれば、重要なインフラストラクチャを含む大きなターゲットが依然として侵害されているとのことです」と彼は言います。 「重要なインフラプロバイダーがランサムウェアによってダウンし、コロニアルパイプラインで見た以上のサプライチェーンの問題を引き起こす日が近づいています。」
2月にFBIと米国秘密情報局は、 共同サイバーセキュリティアドバイザリー BlackByte で、ランサムウェアを展開している攻撃者が、米国の少なくとも XNUMX つの重要なインフラストラクチャ セクターの組織に感染したと警告しています。
