Conti와 연결되어 있는 BlackByte 랜섬웨어 그룹은 잠시 중단된 후 Twitter의 새로운 소셜 미디어와 더 잘 알려진 LockBit 3.0 갱단에서 차용한 새로운 갈취 방법을 통해 다시 등장했습니다.
보고서에 따르면 랜섬웨어 그룹은 다양한 트위터 핸들을 사용하고 있습니다 업데이트된 강탈 전략, 유출 사이트 및 데이터 경매를 홍보합니다. 새로운 계획에 따르면 피해자는 훔친 데이터 게시 기간을 24시간 연장($5,000)하거나, 데이터를 다운로드하거나($200,000), 모든 데이터를 파기($300,000)하기 위해 비용을 지불할 수 있습니다. 그것은 전략이다 LockBit 3.0 그룹 이미 개척했습니다.
"BlackByte가 랜섬웨어 작업의 버전 2를 발표했을 뿐만 아니라 강탈 모델을 지연, 다운로드 또는 파괴하기 위한 비용 지불을 채택함으로써 LockBit의 책에서 한 페이지를 빼내고 있는 것은 놀라운 일이 아닙니다."라고 수석 사이버 위협 정보 기관인 Nicole Hoffman은 말합니다. Digital Shadows의 분석가는 랜섬웨어 그룹 시장을 "경쟁적"이라고 부르며 LockBit이 전 세계적으로 가장 활발하고 활동적인 랜섬웨어 그룹 중 하나라고 설명합니다.
Hoffman은 BlackByte가 경쟁 우위를 확보하거나 채용 및 사업 확장을 위해 언론의 관심을 끌려고 할 가능성이 있다고 덧붙였습니다.
"비록 이중 착취 모델 어떤 방법으로도 깨지지 않기 때문에 이 새로운 모델은 그룹이 여러 수익원을 도입할 수 있는 방법이 될 수 있습니다.”라고 그녀는 말합니다. “이 새로운 모델이 다른 랜섬웨어 그룹 사이에서 트렌드가 되는지, 아니면 단지 널리 채택되지 않는 유행이 되는지 지켜보는 것은 흥미로울 것입니다.”
Vectra의 CTO인 Oliver Tavakoli는 이러한 접근 방식을 "흥미로운 비즈니스 혁신"이라고 부릅니다.
그는 “몸값을 지불하지 않을 것이라고 거의 확신하지만 위반 정도를 조사하면서 하루나 이틀 동안 헤지하고 싶어하는 피해자로부터 소액의 지불금을 징수할 수 있습니다.”라고 말합니다.
Netenrich의 수석 위협 사냥꾼인 John Bambenek은 랜섬웨어 공격자가 수익을 극대화하기 위해 다양한 모델을 사용했다고 지적합니다.
"이것은 더 낮은 수준의 돈을 얻을 수 있는지에 대한 실험처럼 보입니다."라고 그는 말합니다. “모든 데이터를 파기하는 것 외에는 왜 누군가가 그들에게 돈을 지불하는지 모르겠습니다. 즉, 다른 산업과 마찬가지로 공격자들도 항상 비즈니스 모델을 실험하고 있습니다.”
일반적인 전술로 혼란을 야기하다
BlackByte는 전 세계 조직을 감염시키는 가장 일반적인 랜섬웨어 변종 중 하나로 남아 있으며 이전에는 Conti의 전신인 Ryuk과 유사한 웜 기능을 사용했습니다. 그러나 Red Canary의 수석 정보 분석가인 Harrison Van Riper는 BlackByte가 상대적으로 일반적인 전술과 기술을 사용하여 많은 혼란을 일으킬 수 있는 여러 RaaS(Ransomware-as-a-Service) 작업 중 하나일 뿐이라고 지적합니다.
“대부분의 랜섬웨어 운영자와 마찬가지로 BlackByte가 사용하는 기술은 특별히 정교하지는 않지만 그렇다고 영향이 없다는 의미는 아닙니다.”라고 그는 말합니다. “피해자의 일정을 연장하는 옵션은 데이터 도난의 적법성과 범위를 확인하거나 방법에 대한 지속적인 내부 논의를 계속하기 위해 다양한 이유로 추가 시간을 원하는 피해자로부터 최소한 일종의 지불을 얻으려는 노력일 가능성이 높습니다. 몇 가지 이유를 들자면 대답해 주세요.”
Tavakoli는 사이버 보안 전문가들이 BlackByte를 개인의 정적인 행위자라기보다는 언제든지 새로운 마케팅 캠페인을 진행할 수 있는 브랜드로 보아야 한다고 말했습니다. 그는 공격을 수행하기 위한 일련의 기본 기술이 거의 변하지 않는다는 점에 주목합니다.
그는 “특정 랜섬웨어 브랜드가 활용하는 정확한 악성코드나 진입 벡터는 시간이 지나면서 변할 수 있지만, 이들 모두에 걸쳐 사용되는 기술의 총합은 꽤 일정하다”고 말했다. "통제 장치를 마련하고 귀중한 데이터를 표적으로 삼는 공격에 대한 탐지 기능을 확보하고 시뮬레이션된 공격을 실행하여 인력, 프로세스 및 절차를 테스트하세요."
BlackByte는 중요 인프라를 목표로 합니다.
Bambenek은 BlackByte가 일부 실수(예: 새 사이트에서 결제 수락 오류)를 저질렀기 때문에 그의 관점에서는 다른 사이트보다 기술 수준이 약간 낮을 수 있다고 말합니다.
"그러나 오픈 소스 보고에 따르면 그들은 여전히 중요한 인프라를 포함한 대규모 목표를 침해하고 있습니다."라고 그는 말합니다. "우리가 Colonial Pipeline에서 본 것보다 단순한 공급망 문제 이상을 야기할 랜섬웨어를 통해 중요한 인프라 제공업체가 중단되는 날이 다가오고 있습니다."
지난 XNUMX월 FBI와 미국 비밀경호국(US Secret Service)이 공개한 내용이다.
a 공동 사이버 보안 자문 BlackByte에서는 랜섬웨어를 배포한 공격자가 최소 XNUMX개 이상의 미국 중요 인프라 부문의 조직을 감염시켰다고 경고했습니다.
