O grupo de ransomware BlackByte, que tem conexões com a Conti, ressurgiu após um hiato com uma nova presença na mídia social no Twitter e novos métodos de extorsão emprestados da conhecida gangue LockBit 3.0.
De acordo com relatos, o grupo de ransomware está usando vários identificadores do Twitter para promover a estratégia de extorsão atualizada, site de vazamento e leilões de dados. O novo esquema permite que as vítimas paguem para estender a publicação de seus dados roubados em 24 horas (US$ 5,000), baixar os dados (US$ 200,000) ou destruir todos os dados (US$ 300,000). É uma estratégia que o Grupo LockBit 3.0 já foi pioneiro.
“Não é surpreendente que a BlackByte esteja tirando uma página do livro da LockBit, não apenas anunciando uma versão 2 de sua operação de ransomware, mas também adotando o pagamento para atrasar, baixar ou destruir o modelo de extorsão”, diz Nicole Hoffman, inteligência sênior de ameaças cibernéticas analista da Digital Shadows, que chama o mercado de grupos de ransomware de “competitivo” e explica que o LockBit é um dos grupos de ransomware mais prolíficos e ativos do mundo.
Hoffman acrescenta que é possível que a BlackByte esteja tentando obter uma vantagem competitiva ou tentando chamar a atenção da mídia para recrutar e aumentar suas operações.
"Apesar de modelo de dupla extorsão não está quebrado de forma alguma, esse novo modelo pode ser uma maneira de os grupos introduzirem vários fluxos de receita”, diz ela. “Será interessante ver se esse novo modelo se tornará uma tendência entre outros grupos de ransomware ou apenas uma moda passageira que não é amplamente adotada.”
Oliver Tavakoli, CTO da Vectra, chama essa abordagem de “inovação comercial interessante”.
“Ele permite que pagamentos menores sejam cobrados de vítimas que têm quase certeza de que não pagarão o resgate, mas querem se proteger por um dia ou dois enquanto investigam a extensão da violação”, diz ele.
John Bambenek, principal caçador de ameaças da Netenrich, aponta que os agentes de ransomware brincaram com uma variedade de modelos para maximizar sua receita.
“Isso quase parece um experimento sobre se eles podem obter níveis mais baixos de dinheiro”, diz ele. “Eu simplesmente não sei por que alguém pagaria algo a eles, exceto para destruir todos os dados. Dito isso, os invasores, como qualquer setor, estão experimentando modelos de negócios o tempo todo.”
Causando interrupção com táticas comuns
O BlackByte continua sendo uma das variantes de ransomware mais comuns, infectando organizações em todo o mundo e anteriormente empregando uma capacidade de worm semelhante ao Ryuk, precursor de Conti. Mas Harrison Van Riper, analista sênior de inteligência da Red Canary, observa que o BlackByte é apenas uma das várias operações de ransomware como serviço (RaaS) que têm o potencial de causar muita interrupção com táticas e técnicas relativamente comuns.
“Como a maioria dos operadores de ransomware, as técnicas que o BlackByte usa não são particularmente sofisticadas, mas isso não significa que não sejam impactantes”, diz ele. “A opção de estender o cronograma da vítima provavelmente é um esforço para obter pelo menos algum tipo de pagamento das vítimas que podem querer mais tempo por vários motivos: para determinar a legitimidade e o escopo do roubo de dados ou continuar a discussão interna em andamento sobre como responder, para citar alguns motivos.”
Tavakoli diz que os profissionais de segurança cibernética devem ver o BlackByte menos como um ator estático individual e mais como uma marca que pode ter uma nova campanha de marketing vinculada a ela a qualquer momento; ele observa que o conjunto de técnicas subjacentes para realizar os ataques raramente muda.
“O malware preciso ou o vetor de entrada utilizado por uma determinada marca de ransomware pode mudar com o tempo, mas a soma das técnicas usadas em todos eles é bastante constante”, diz ele. “Coloque seus controles no lugar, certifique-se de ter recursos de detecção de ataques direcionados a seus dados valiosos e execute ataques simulados para testar seu pessoal, processos e procedimentos.”
Infraestrutura Crítica de Alvos BlackByte
Bambenek diz que, como o BlackByte cometeu alguns erros (como um erro ao aceitar pagamentos no novo site), de sua perspectiva, pode ser um pouco mais baixo no nível de habilidade do que outros.
“No entanto, os relatórios de código aberto dizem que eles ainda estão comprometendo grandes alvos, incluindo aqueles em infraestrutura crítica”, diz ele. “Está chegando o dia em que um provedor de infraestrutura significativo será derrubado por meio de ransomware, o que criará mais do que apenas um problema na cadeia de suprimentos do que vimos com o Colonial Pipeline.”
Em fevereiro, o FBI e o Serviço Secreto dos EUA divulgaram
a assessoria conjunta de cibersegurança no BlackByte, alertando que os invasores que implantam o ransomware infectaram organizações em pelo menos três setores críticos de infraestrutura dos EUA.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
