Skupina z izsiljevalsko programsko opremo BlackByte, ki je povezana s Contijem, se je po premoru ponovno pojavila z novo prisotnostjo v družabnih medijih na Twitterju in novimi metodami izsiljevanja, izposojenimi od bolj znane tolpe LockBit 3.0.
Po poročilih je skupina izsiljevalskih programov uporablja različne ročaje Twitterja za promocijo posodobljene strategije izsiljevanja, mesta uhajanja podatkov in dražb podatkov. Nova shema omogoča žrtvam, da plačajo za podaljšanje objave svojih ukradenih podatkov za 24 ur (5,000 $), prenesejo podatke (200,000 $) ali uničijo vse podatke (300,000 $). To je strategija Skupina LockBit 3.0 že pionirski.
"Ni presenetljivo, da BlackByte vzame stran iz LockBitove knjige, tako da ne samo napoveduje različico 2 svoje operacije izsiljevalske programske opreme, ampak tudi sprejme model izsiljevanja plačila za zamudo, prenos ali uničenje," pravi Nicole Hoffman, višja obveščevalna služba za kibernetske grožnje. analitik pri Digital Shadows, ki trg za skupine izsiljevalskih programov imenuje "konkurenčen" in pojasnjuje, da je LockBit ena najbolj plodnih in aktivnih skupin izsiljevalskih programov na svetu.
Hoffman dodaja, da je možno, da BlackByte poskuša pridobiti konkurenčno prednost ali poskuša pridobiti pozornost medijev, da bi zaposlil in povečal svoje poslovanje.
"Čeprav je model dvojnega izsiljevanja ni na noben način pokvarjen, je ta novi model morda način za skupine, da uvedejo več tokov prihodkov," pravi. "Zanimivo bo videti, ali bo ta novi model postal trend med drugimi skupinami izsiljevalskih programov ali le modna muha, ki je ni splošno sprejet."
Oliver Tavakoli, tehnični direktor pri Vectri, ta pristop imenuje "zanimiva poslovna inovacija".
"Omogoča zbiranje manjših plačil od žrtev, ki so skoraj prepričane, da ne bodo plačale odkupnine, vendar se želijo zavarovati za dan ali dva, ko raziskujejo obseg kršitve," pravi.
John Bambenek, glavni lovec na grožnje pri Netenrichu, poudarja, da so se akterji izsiljevalske programske opreme igrali z različnimi modeli, da bi povečali svoj prihodek.
"To je skoraj videti kot poskus, ali lahko dobijo nižje stopnje denarja," pravi. "Enostavno ne vem, zakaj bi jim kdo plačal karkoli, razen za uničenje vseh podatkov. Se pravi, napadalci, kot katera koli industrija, ves čas eksperimentirajo s poslovnimi modeli."
Povzročanje motenj z običajnimi taktikami
BlackByte je ostal ena najpogostejših različic izsiljevalske programske opreme, ki je okužila organizacije po vsem svetu in je prej uporabljala zmogljivost črva, podobno Contijevemu predhodniku Ryuk. Toda Harrison Van Riper, višji obveščevalni analitik pri Red Canary, ugotavlja, da je BlackByte le ena od številnih operacij izsiljevalske programske opreme kot storitve (RaaS), ki lahko povzročijo veliko motenj z relativno običajnimi taktikami in tehnikami.
"Tako kot večina operaterjev izsiljevalske programske opreme tudi tehnike, ki jih uporablja BlackByte, niso posebej prefinjene, vendar to ne pomeni, da niso učinkovite," pravi. "Možnost podaljšanja roka žrtve je verjetno prizadevanje, da bi prejeli vsaj neko plačilo od žrtev, ki bi morda želele dodaten čas iz različnih razlogov: da ugotovijo legitimnost in obseg kraje podatkov ali nadaljujejo tekočo interno razpravo o tem, kako odgovorite in naštejte nekaj razlogov."
Tavakoli pravi, da bi morali strokovnjaki za kibernetsko varnost gledati na BlackByte manj kot na posameznega statičnega akterja in bolj kot na blagovno znamko, na katero je lahko kadar koli povezana nova marketinška kampanja; ugotavlja, da se nabor osnovnih tehnik za odpravo napadov redko spremeni.
»Natančna zlonamerna programska oprema ali vnosni vektor, ki ga uporablja določena blagovna znamka izsiljevalske programske opreme, se lahko sčasoma spremeni, vendar je vsota uporabljenih tehnik pri vseh dokaj konstantna,« pravi. "Vzpostavite nadzor, zagotovite, da imate zmožnosti zaznavanja napadov, ki ciljajo na vaše dragocene podatke, in zaženite simulirane napade, da preizkusite svoje ljudi, procese in postopke."
BlackByte cilja na kritično infrastrukturo
Bambenek pravi, da je BlackByte naredil nekaj napak (kot je napaka pri sprejemanju plačil na novem spletnem mestu), zato je z njegovega vidika morda nekoliko nižji na ravni spretnosti kot drugi.
"Vendar pa odprtokodno poročanje pravi, da še vedno ogrožajo velike cilje, vključno s tistimi v kritični infrastrukturi," pravi. "Prihaja dan, ko bo pomemben ponudnik infrastrukture uničen z izsiljevalsko programsko opremo, ki bo povzročila več kot le težavo v dobavni verigi, kot smo jo videli pri Colonial Pipeline."
Februarja sta FBI in ameriška tajna služba izdala a skupno svetovanje o kibernetski varnosti na BlackByte, ki opozarja, da so napadalci, ki uporabljajo izsiljevalsko programsko opremo, okužili organizacije v vsaj treh sektorjih kritične infrastrukture v ZDA.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
