BlackByte-ransomware-gruppen, som har forbindelser til Conti, har dukket opp igjen etter en pause med en ny tilstedeværelse i sosiale medier på Twitter og nye utpressingsmetoder lånt fra den mer kjente LockBit 3.0-gjengen.
I følge rapporter er den ransomware-gruppen bruker forskjellige Twitter-håndtak for å promotere den oppdaterte utpressingsstrategien, lekkasjesiden og dataauksjonene. Den nye ordningen lar ofre betale for å forlenge publiseringen av deres stjålne data med 24 timer ($5,000 200,000), laste ned dataene ($300,000 XNUMX) eller ødelegge alle dataene ($XNUMX XNUMX). Det er en strategi LockBit 3.0-gruppen allerede banebrytende.
"Det er ikke overraskende at BlackByte tar en side ut av LockBits bok ved ikke bare å kunngjøre en versjon 2 av deres løsepengevareoperasjon, men også ved å ta i bruk betalingen for å utsette, laste ned eller ødelegge utpressingsmodellen," sier Nicole Hoffman, senior etterretningstjeneste for cybertrusler analytiker hos Digital Shadows, som kaller markedet for løsepengevaregrupper "konkurransedyktig" og forklarer at LockBit er en av de mest produktive og aktive løsepengevaregruppene globalt.
Hoffman legger til at det er mulig BlackByte prøver å oppnå et konkurransefortrinn eller prøver å få medieoppmerksomhet for å rekruttere og utvide virksomheten.
"Selv om dobbel utpressingsmodell ikke er ødelagt på noen måte, kan denne nye modellen være en måte for grupper å introdusere flere inntektsstrømmer på, sier hun. "Det vil være interessant å se om denne nye modellen blir en trend blant andre løsepengevaregrupper eller bare en kjepphest som ikke er allment tatt i bruk."
Oliver Tavakoli, CTO hos Vectra, kaller denne tilnærmingen en "interessant forretningsinnovasjon."
"Den gjør det mulig å samle inn mindre betalinger fra ofre som er nesten sikre på at de ikke vil betale løsepenger, men ønsker å sikre seg i en dag eller to mens de undersøker omfanget av bruddet," sier han.
John Bambenek, hovedtrusseljeger hos Netenrich, påpeker at ransomware-aktører har lekt rundt med en rekke modeller for å maksimere inntektene sine.
"Dette ser nesten ut som et eksperiment på om de kan få lavere nivåer av penger," sier han. "Jeg vet bare ikke hvorfor noen ville betale dem noe annet enn å ødelegge alle dataene. Når det er sagt, eksperimenterer angripere, som enhver bransje, med forretningsmodeller hele tiden.»
Forårsaker forstyrrelser med vanlige taktikker
BlackByte har forblitt en av de mer vanlige løsepengevarevariantene, og har infisert organisasjoner over hele verden og tidligere brukt en ormefunksjon som ligner på Contis forløper Ryuk. Men Harrison Van Riper, senior etterretningsanalytiker ved Red Canary, bemerker at BlackByte bare er en av flere ransomware-as-a-service (RaaS) operasjoner som har potensial til å forårsake mye forstyrrelse med relativt vanlige taktikker og teknikker.
"Som de fleste ransomware-operatører, er ikke teknikkene BlackByte bruker spesielt sofistikerte, men det betyr ikke at de ikke har effekt," sier han. "Alternativet til å forlenge offerets tidslinje er sannsynligvis et forsøk på å få i det minste en form for betaling fra ofre som kanskje vil ha ekstra tid av en rekke årsaker: for å fastslå legitimiteten og omfanget av datatyveriet eller fortsette pågående intern diskusjon om hvordan svare, for å nevne et par grunner.»
Tavakoli sier cybersikkerhetsproffer bør se BlackByte mindre som en individuell statisk aktør og mer som en merkevare som kan ha en ny markedsføringskampanje knyttet til seg når som helst; han bemerker at settet med underliggende teknikker for å gjennomføre angrepene sjelden endres.
"Den nøyaktige skadevare eller inngangsvektoren som brukes av et gitt løsepengevaremerke kan endre seg over tid, men summen av teknikkene som brukes på tvers av dem alle er ganske konstant," sier han. "Få kontrollene dine på plass, sørg for at du har deteksjonsmuligheter for angrep som retter seg mot dine verdifulle data, og kjør simulerte angrep for å teste dine folk, prosesser og prosedyrer."
BlackByte retter seg mot kritisk infrastruktur
Bambenek sier at fordi BlackByte har gjort noen feil (som en feil med å godta betalinger på det nye nettstedet), kan det fra hans perspektiv være litt lavere på ferdighetsnivået enn andre.
"Men åpen kildekode-rapportering sier at de fortsatt kompromitterer store mål, inkludert de innen kritisk infrastruktur," sier han. "Dagen kommer da en betydelig infrastrukturleverandør blir tatt ned via løsepengevare som vil skape mer enn bare et forsyningskjedeproblem enn vi så med Colonial Pipeline."
I februar slapp FBI og US Secret Service
a felles cybersikkerhetsrådgivning på BlackByte, og advarte om at angripere som distribuerte løsepengevaren hadde infisert organisasjoner i minst tre amerikanske kritiske infrastruktursektorer.
