Группа вымогателей BlackByte, которая имеет связи с Conti, вновь появилась после перерыва с новым присутствием в социальных сетях в Twitter и новыми методами вымогательства, заимствованными у более известной банды LockBit 3.0.
Согласно сообщениям, группа вымогателей использует различные дескрипторы Twitter для продвижения обновленной стратегии вымогательства, сайта утечки и аукционов данных. Новая схема позволяет жертвам заплатить за продление публикации украденных данных на 24 часа (5,000 долларов США), загрузить данные (200,000 300,000 долларов США) или уничтожить все данные (XNUMX XNUMX долларов США). Это стратегия, Группа LockBit 3.0 уже первопроходец.
«Неудивительно, что BlackByte вырывает страницу из книги LockBit, не только объявляя о второй версии своей операции с вымогателями, но и принимая модель оплаты за задержку, загрузку или уничтожение вымогательства», — говорит Николь Хоффман, старший специалист по киберугрозам. Аналитик Digital Shadows, который называет рынок групп вымогателей «конкурентным» и объясняет, что LockBit — одна из самых плодовитых и активных групп вымогателей в мире.
Хоффман добавляет, что, возможно, BlackByte пытается получить конкурентное преимущество или пытается привлечь внимание средств массовой информации для найма и расширения своей деятельности.
"Хотя модель двойного вымогательства никоим образом не нарушена, эта новая модель может стать для групп способом ввести несколько потоков доходов», — говорит она. «Будет интересно посмотреть, станет ли эта новая модель тенденцией среди других групп, занимающихся вымогательством, или просто причудой, которая не получила широкого распространения».
Оливер Таваколи, технический директор Vectra, называет этот подход «интересной бизнес-инновацией».
«Это позволяет получать меньшие платежи от жертв, которые почти уверены, что не заплатят выкуп, но хотят подстраховаться на день или два, пока они выясняют масштабы нарушения», — говорит он.
Джон Бамбенек, главный специалист по поиску угроз в Netenrich, отмечает, что злоумышленники, занимающиеся программами-вымогателями, экспериментировали с различными моделями, чтобы максимизировать свой доход.
«Это похоже на эксперимент по вопросу, смогут ли они получить более низкие уровни денег», — говорит он. «Я просто не знаю, зачем им что-то платить, кроме как за уничтожение всех данных. Тем не менее, злоумышленники, как и любая отрасль, постоянно экспериментируют с бизнес-моделями».
Причинение сбоев с помощью обычной тактики
BlackByte остается одним из наиболее распространенных вариантов программ-вымогателей, заражая организации по всему миру и ранее использовавших возможности червя, аналогичные предшественнику Conti Ryuk. Но Харрисон Ван Рипер, старший аналитик разведки Red Canary, отмечает, что BlackByte — это лишь одна из нескольких операций с программами-вымогателями как услуга (RaaS), которые могут вызвать серьезные нарушения при использовании относительно распространенных тактик и методов.
«Как и у большинства операторов программ-вымогателей, методы, используемые BlackByte, не особенно сложны, но это не значит, что они неэффективны», — говорит он. «Возможность продлить срок действия жертвы, скорее всего, является попыткой получить хотя бы какую-то оплату от жертв, которым может потребоваться дополнительное время по разным причинам: чтобы определить законность и масштабы кражи данных или продолжить продолжающееся внутреннее обсуждение того, как ответьте, назовите пару причин».
Таваколи говорит, что профессионалы в области кибербезопасности должны рассматривать BlackByte не как отдельного статичного участника, а как бренд, к которому можно в любой момент привязать новую маркетинговую кампанию; он отмечает, что набор основных методов проведения атак редко меняется.
«Точный тип вредоносного ПО или вектор проникновения, используемый конкретным брендом программ-вымогателей, может меняться со временем, но сумма методов, используемых во всех них, довольно постоянна», — говорит он. «Установите средства контроля, убедитесь, что у вас есть возможности обнаружения атак, нацеленных на ваши ценные данные, и запускайте моделируемые атаки для проверки ваших людей, процессов и процедур».
BlackByte нацеливается на критически важную инфраструктуру
Бамбенек говорит, что из-за того, что BlackByte допустил некоторые ошибки (например, ошибку с приемом платежей на новом сайте), с его точки зрения, он может быть немного ниже по уровню навыков, чем другие.
«Однако в отчетах из открытых источников говорится, что они по-прежнему подвергают риску крупные цели, в том числе в критической инфраструктуре», — говорит он. «Наступает день, когда крупный поставщик инфраструктуры будет отключен с помощью программы-вымогателя, что создаст больше, чем просто проблему с цепочкой поставок, чем мы видели в случае с Colonial Pipeline».
В феврале ФБР и Секретная служба США опубликовали
a совместное консультирование по кибербезопасности на BlackByte, предупредив, что злоумышленники, развернувшие программу-вымогатель, заразили организации как минимум в трех критически важных секторах инфраструктуры США.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
