De BlackByte-ransomwaregroep, die banden heeft met Conti, is na een pauze weer opgedoken met een nieuwe aanwezigheid op sociale media op Twitter en nieuwe afpersingsmethoden die zijn geleend van de bekendere LockBit 3.0-bende.
Volgens rapporten, de ransomware-groep gebruikt verschillende Twitter-handvatten om de bijgewerkte afpersingsstrategie, leksite en gegevensveilingen te promoten. Met de nieuwe regeling kunnen slachtoffers betalen om de publicatie van hun gestolen gegevens met 24 uur ($5,000) te verlengen, de gegevens te downloaden ($200,000) of alle gegevens te vernietigen ($300,000). Het is een strategie LockBit 3.0-groep al pionierde.
"Het is niet verrassend dat BlackByte een pagina uit het boek van LockBit haalt door niet alleen versie 2 van hun ransomware-operatie aan te kondigen, maar ook het afpersingsmodel te accepteren voor het uitstellen, downloaden of vernietigen", zegt Nicole Hoffman, senior cyber-threat intelligence analist bij Digital Shadows, die de markt voor ransomwaregroepen 'competitief' noemt en uitlegt dat LockBit een van de meest productieve en actieve ransomwaregroepen ter wereld is.
Hoffman voegt eraan toe dat het mogelijk is dat BlackByte een concurrentievoordeel probeert te behalen of media-aandacht probeert te krijgen om zijn activiteiten te werven en uit te breiden.
"Hoewel de dubbel afpersingsmodel op geen enkele manier wordt verbroken, kan dit nieuwe model een manier zijn voor groepen om meerdere inkomstenstromen te introduceren", zegt ze. "Het zal interessant zijn om te zien of dit nieuwe model een trend wordt onder andere ransomware-groepen of slechts een rage die niet algemeen aanvaard.”
Oliver Tavakoli, CTO bij Vectra, noemt deze aanpak een ‘interessante bedrijfsinnovatie’.
"Hiermee kunnen kleinere betalingen worden geïnd van slachtoffers die er vrijwel zeker van zijn dat ze het losgeld niet zullen betalen, maar zich een dag of twee willen indekken terwijl ze de omvang van de inbreuk onderzoeken", zegt hij.
John Bambenek, hoofddreigingsjager bij Netenrich, wijst erop dat ransomware-actoren met verschillende modellen hebben gespeeld om hun inkomsten te maximaliseren.
"Dit lijkt bijna op een experiment om te zien of ze een lager bedrag aan geld kunnen krijgen", zegt hij. "Ik weet gewoon niet waarom iemand ze iets anders zou betalen dan het vernietigen van alle gegevens. Dat gezegd hebbende, experimenteren aanvallers, net als elke andere sector, voortdurend met bedrijfsmodellen."
Disruptie veroorzaken met gemeenschappelijke tactieken
BlackByte is nog steeds een van de meest voorkomende ransomwarevarianten, die organisaties over de hele wereld infecteert en voorheen gebruik maakte van een wormcapaciteit die vergelijkbaar was met Conti's voorloper Ryuk. Maar Harrison Van Riper, senior inlichtingenanalist bij Red Canary, merkt op dat BlackByte slechts een van de vele ransomware-as-a-service (RaaS)-operaties is die het potentieel hebben om veel verstoring te veroorzaken met relatief algemene tactieken en technieken.
"Net als de meeste ransomware-exploitanten zijn de technieken die BlackByte gebruikt niet bijzonder geavanceerd, maar dat betekent niet dat ze geen impact hebben", zegt hij. “De optie om de tijdlijn van het slachtoffer te verlengen is waarschijnlijk een poging om op zijn minst een of andere vorm van betaling te krijgen van slachtoffers die om verschillende redenen extra tijd willen: om de legitimiteit en omvang van de gegevensdiefstal vast te stellen of om de voortdurende interne discussie voort te zetten over hoe reageren, om een paar redenen te noemen."
Tavakoli zegt dat professionals op het gebied van cyberbeveiliging BlackByte minder moeten zien als een individuele statische actor en meer als een merk waaraan op elk moment een nieuwe marketingcampagne kan worden gekoppeld; hij merkt op dat de reeks onderliggende technieken om de aanvallen uit te voeren zelden verandert.
"De precieze malware of toegangsvector die door een bepaald ransomware-merk wordt gebruikt, kan in de loop van de tijd veranderen, maar de som van de technieken die door al deze merken worden gebruikt, is redelijk constant", zegt hij. "Zorg dat u controle heeft, zorg ervoor dat u over detectiemogelijkheden beschikt voor aanvallen die zich op uw waardevolle gegevens richten, en voer gesimuleerde aanvallen uit om uw mensen, processen en procedures te testen."
BlackByte richt zich op kritieke infrastructuur
Bambenek zegt dat omdat BlackByte een aantal fouten heeft gemaakt (zoals een fout bij het accepteren van betalingen op de nieuwe site), het vanuit zijn perspectief misschien iets lager ligt op vaardigheidsniveau dan andere.
"Open source-rapportage zegt echter dat ze nog steeds grote doelen in gevaar brengen, inclusief die in kritieke infrastructuur", zegt hij. "De dag komt dat een belangrijke infrastructuurprovider wordt uitgeschakeld via ransomware, wat meer zal veroorzaken dan alleen een supply chain-probleem dan we zagen met Colonial Pipeline."
In februari kwamen de FBI en de Amerikaanse geheime dienst vrij A gezamenlijk advies over cyberbeveiliging op BlackByte, waarschuwde dat aanvallers die de ransomware inzetten, organisaties in ten minste drie Amerikaanse kritieke infrastructuursectoren hadden geïnfecteerd.
