กลุ่มมัลแวร์เรียกค่าไถ่ BlackByte ซึ่งมีความเชื่อมโยงกับ Conti ได้กลับมาปรากฏตัวอีกครั้งหลังจากหายไปพร้อมกับการปรากฏบนโซเชียลมีเดียแบบใหม่บน Twitter และวิธีการขู่กรรโชกแบบใหม่ที่ยืมมาจากแก๊ง LockBit 3.0 ที่รู้จักกันดี
ตามรายงาน กลุ่มแรนซัมแวร์ใช้ตัวจัดการ Twitter ต่างๆ เพื่อส่งเสริมกลยุทธ์การขู่กรรโชกที่อัปเดต เว็บไซต์รั่วไหล และการประมูลข้อมูล โครงการใหม่นี้อนุญาตให้เหยื่อจ่ายเงินเพื่อขยายเวลาการเผยแพร่ข้อมูลที่ถูกขโมยออกไปภายใน 24 ชั่วโมง ($5,000) ดาวน์โหลดข้อมูล ($200,000) หรือทำลายข้อมูลทั้งหมด ($300,000) มันเป็นกลยุทธ์ที่ กลุ่ม LockBit 3.0 เป็นผู้บุกเบิกแล้ว
“ไม่ใช่เรื่องน่าแปลกใจที่ BlackByte ดึงหน้าออกจากหนังสือของ LockBit โดยไม่เพียงแต่ประกาศการดำเนินการแรนซัมแวร์เวอร์ชัน 2 เท่านั้น แต่ยังใช้การจ่ายเงินเพื่อชะลอ ดาวน์โหลด หรือทำลายโมเดลการขู่กรรโชก” นิโคล ฮอฟฟ์แมน เจ้าหน้าที่ข่าวกรองด้านภัยคุกคามทางไซเบอร์อาวุโสกล่าว นักวิเคราะห์จาก Digital Shadows ซึ่งเรียกตลาดสำหรับกลุ่มแรนซัมแวร์ว่า “มีการแข่งขัน” และอธิบายว่า LockBit เป็นหนึ่งในกลุ่มแรนซัมแวร์ที่อุดมสมบูรณ์และใช้งานมากที่สุดในโลก
Hoffman กล่าวเสริมว่าเป็นไปได้ที่ BlackByte กำลังพยายามสร้างความได้เปรียบทางการแข่งขันหรือพยายามดึงดูดความสนใจของสื่อในการสรรหาและขยายการดำเนินงาน
"แม้ว่า แบบจำลองการกรรโชกสองครั้ง ไม่ได้ถูกทำลายด้วยวิธีใดๆ รูปแบบใหม่นี้อาจเป็นวิธีสำหรับกลุ่มต่างๆ ในการแนะนำแหล่งรายได้ที่หลากหลาย” เธอกล่าว “น่าสนใจที่จะเห็นว่าโมเดลใหม่นี้กลายเป็นกระแสในกลุ่มแรนซัมแวร์อื่นๆ หรือเป็นเพียงแฟชั่นที่ไม่ได้รับการยอมรับอย่างกว้างขวาง”
Oliver Tavakoli ซีทีโอของ Vectra เรียกแนวทางนี้ว่า “นวัตกรรมทางธุรกิจที่น่าสนใจ”
“มันช่วยให้สามารถเรียกเก็บเงินจำนวนเล็กน้อยจากเหยื่อที่เกือบจะแน่ใจว่าพวกเขาจะไม่จ่ายค่าไถ่ แต่ต้องการป้องกันความเสี่ยงสักวันหรือสองวันในขณะที่พวกเขาตรวจสอบขอบเขตของการละเมิด” เขากล่าว
John Bambenek นักล่าภัยคุกคามหลักของ Netenrich ชี้ให้เห็นว่านักแสดงแรนซัมแวร์ได้เล่นกับโมเดลที่หลากหลายเพื่อเพิ่มรายได้สูงสุด
“นี่เกือบจะดูเหมือนเป็นการทดลองว่าพวกเขาจะได้รับเงินในระดับที่ต่ำกว่าหรือไม่” เขากล่าว “ฉันไม่รู้ว่าทำไมใครๆ ถึงต้องจ่ายเงินให้พวกเขา ยกเว้นการทำลายข้อมูลทั้งหมด อย่างไรก็ตาม ผู้โจมตีก็เหมือนกับอุตสาหกรรมอื่นๆ ที่กำลังทดลองใช้โมเดลธุรกิจอยู่ตลอดเวลา”
ทำให้เกิดการหยุดชะงักด้วยกลยุทธ์ทั่วไป
BlackByte ยังคงเป็นหนึ่งในตัวแปรแรนซัมแวร์ที่พบได้ทั่วไป โดยแพร่ระบาดไปยังองค์กรต่างๆ ทั่วโลก และก่อนหน้านี้ใช้ความสามารถของเวิร์มที่คล้ายคลึงกับ Ryuk ซึ่งเป็นบรรพบุรุษของ Conti แต่ Harrison Van Riper นักวิเคราะห์ข่าวกรองอาวุโสของ Red Canary ตั้งข้อสังเกตว่า BlackByte เป็นเพียงหนึ่งในการดำเนินการ ransomware-as-a-service (RaaS) หลายอย่างที่มีศักยภาพในการทำให้เกิดการหยุดชะงักอย่างมากด้วยกลยุทธ์และเทคนิคที่ค่อนข้างธรรมดา
“เช่นเดียวกับโอเปอเรเตอร์แรนซัมแวร์ส่วนใหญ่ เทคนิคที่ BlackByte ใช้นั้นไม่ได้ซับซ้อนเป็นพิเศษ แต่นั่นไม่ได้หมายความว่าจะไม่ส่งผลกระทบ” เขากล่าว “ตัวเลือกในการขยายระยะเวลาของเหยื่อน่าจะเป็นความพยายามที่จะได้รับการชำระเงินอย่างน้อยจากเหยื่อที่อาจต้องการเวลาเพิ่มเติมด้วยเหตุผลหลายประการ: เพื่อพิจารณาความชอบธรรมและขอบเขตของการขโมยข้อมูล หรือดำเนินการหารือภายในอย่างต่อเนื่องเกี่ยวกับวิธีการ ตอบกลับเพื่อบอกเหตุผลสองสามข้อ”
Tavakoli กล่าวว่าผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ควรมองว่า BlackByte น้อยลงในฐานะนักแสดงคงที่และควรมองว่าเป็นแบรนด์ที่สามารถมีแคมเปญการตลาดใหม่เชื่อมโยงกับมันได้ตลอดเวลา เขาตั้งข้อสังเกตถึงชุดของเทคนิคพื้นฐานในการโจมตีซึ่งแทบจะไม่เปลี่ยนแปลง
“มัลแวร์ที่แม่นยำหรือเวกเตอร์เริ่มต้นที่ใช้โดยแบรนด์แรนซัมแวร์อาจมีการเปลี่ยนแปลงเมื่อเวลาผ่านไป แต่ผลรวมของเทคนิคที่ใช้ในทั้งหมดนั้นค่อนข้างคงที่” เขากล่าว “เตรียมการควบคุมของคุณให้พร้อม ตรวจสอบให้แน่ใจว่าคุณมีความสามารถในการตรวจจับการโจมตีที่กำหนดเป้าหมายข้อมูลอันมีค่าของคุณ และใช้การโจมตีจำลองเพื่อทดสอบบุคลากร กระบวนการ และขั้นตอนของคุณ”
BlackByte มุ่งเป้าไปที่โครงสร้างพื้นฐานที่สำคัญ
Bambenek กล่าวว่าเนื่องจาก BlackByte ทำผิดพลาดบางอย่าง (เช่น ข้อผิดพลาดในการรับการชำระเงินในไซต์ใหม่) จากมุมมองของเขา ระดับทักษะอาจต่ำกว่าคนอื่นๆ เล็กน้อย
“อย่างไรก็ตาม การรายงานของโอเพ่นซอร์สระบุว่าพวกเขายังคงประนีประนอมกับเป้าหมายใหญ่ รวมถึงผู้ที่อยู่ในโครงสร้างพื้นฐานที่สำคัญ” เขากล่าว “วันนั้นจะมาถึงเมื่อผู้ให้บริการโครงสร้างพื้นฐานรายใหญ่ถูกปิดตัวลงด้วยแรนซัมแวร์ ซึ่งจะสร้างมากกว่าปัญหาห่วงโซ่อุปทานมากกว่าที่เราเห็นใน Colonial Pipeline”
ในเดือนกุมภาพันธ์ FBI และหน่วยสืบราชการลับของสหรัฐอเมริกาได้รับการปล่อยตัว
a ที่ปรึกษาด้านความปลอดภัยทางไซเบอร์ร่วม บน BlackByte โดยเตือนว่าผู้โจมตีที่ใช้แรนซัมแวร์ทำให้องค์กรติดไวรัสในภาคโครงสร้างพื้นฐานที่สำคัญของสหรัฐอเมริกาอย่างน้อยสามแห่ง
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
