Conti ile bağlantıları olan BlackByte fidye yazılımı grubu, Twitter'da yeni bir sosyal medya varlığı ve daha iyi bilinen LockBit 3.0 çetesinden ödünç alınan yeni gasp yöntemleri ile bir aradan sonra yeniden ortaya çıktı.
Raporlara göre, fidye yazılımı grubu çeşitli Twitter tanıtıcıları kullanıyor güncellenmiş gasp stratejisini, sızıntı sitesini ve veri açık artırmalarını tanıtmak. Yeni plan, kurbanların çalınan verilerinin yayınlanmasını 24 saat uzatmak için ödeme yapmalarına (5,000 ABD Doları), verileri indirmelerine (200,000 ABD Doları) veya tüm verileri yok etmelerine (300,000 ABD Doları) olanak tanıyor. Bu bir strateji LockBit 3.0 grubu şimdiden öncülük etti.
Kıdemli siber tehdit istihbaratı Nicole Hoffman, "BlackByte'ın yalnızca fidye yazılımı operasyonunun 2. versiyonunu duyurmakla kalmayıp aynı zamanda gaspı geciktirmek, indirmek veya yok etmek için ödeme modelini benimseyerek LockBit'in kitabından bir sayfa çıkarması şaşırtıcı değil" diyor. fidye yazılımı grupları pazarını "rekabetçi" olarak nitelendiren ve LockBit'in dünya çapında en üretken ve aktif fidye yazılımı gruplarından biri olduğunu açıklayan Digital Shadows analisti.
Hoffman, BlackByte'ın bir rekabet avantajı elde etmeye veya operasyonlarını işe almak ve büyütmek için medyanın ilgisini çekmeye çalışmasının mümkün olduğunu ekliyor.
"Rağmen çifte gasp modeli Hiçbir şekilde bozulmamış olsa da, bu yeni model, grupların birden fazla gelir akışı sağlamalarının bir yolu olabilir" diyor ve şöyle devam ediyor: "Bu yeni modelin diğer fidye yazılımı grupları arasında bir trend mi yoksa sadece bir moda haline mi geldiğini görmek ilginç olacak." yaygın olarak benimsenmedi."
Vectra CTO'su Oliver Tavakoli, bu yaklaşımı "ilginç bir iş yeniliği" olarak nitelendiriyor.
"Bu, fidyeyi ödemeyeceklerinden neredeyse emin olan ancak ihlalin boyutunu araştırırken bir veya iki günlüğüne riskten korunmak isteyen kurbanlardan daha küçük ödemelerin toplanmasına olanak tanıyor" diyor.
Netenrich'teki başlıca tehdit avcısı John Bambinek, fidye yazılımı aktörlerinin gelirlerini en üst düzeye çıkarmak için çeşitli modellerle uğraştığına dikkat çekiyor.
"Bu neredeyse daha düşük seviyelerde para alıp alamayacaklarına dair bir deneye benziyor" diyor. "Tüm verileri yok etmek dışında neden birisinin onlara bir şey ödediğini bilmiyorum. Bununla birlikte, diğer endüstriler gibi saldırganlar da sürekli iş modellerini deniyor."
Ortak Taktiklerle Kargaşaya Neden Olmak
BlackByte, dünya çapındaki kuruluşlara bulaşan ve daha önce Conti'nin öncüsü Ryuk'a benzer bir solucan özelliği kullanan, en yaygın fidye yazılımı türlerinden biri olmaya devam etti. Ancak Red Canary'nin kıdemli istihbarat analisti Harrison Van Riper, BlackByte'ın nispeten yaygın taktik ve tekniklerle çok fazla kesintiye neden olma potansiyeline sahip birkaç hizmet olarak fidye yazılımı (RaaS) operasyonundan yalnızca biri olduğunu belirtiyor.
"Çoğu fidye yazılımı operatörü gibi BlackByte'ın kullandığı teknikler çok karmaşık değil, ancak bu onların etkili olmadığı anlamına gelmiyor" diyor. "Mağdurun zaman çizelgesini uzatma seçeneği muhtemelen çeşitli nedenlerle ekstra süre isteyebilecek mağdurlardan en azından bir tür ödeme alma çabasıdır: veri hırsızlığının meşruiyetini ve kapsamını belirlemek veya nasıl yapılacağına dair devam eden dahili tartışmayı sürdürmek Birkaç nedenden bahsetmek gerekirse yanıt verin."
Tavakoli, siber güvenlik profesyonellerinin BlackByte'ı bireysel statik bir aktör olarak görmekten çok, kendisine her an yeni bir pazarlama kampanyası bağlayabilecek bir marka olarak görmeleri gerektiğini söylüyor; Nadiren değişen saldırıları gerçekleştirmek için temel tekniklerin kümesini not eder.
"Belirli bir fidye yazılımı markası tarafından kullanılan kesin kötü amaçlı yazılım veya giriş vektörü zamanla değişebilir, ancak hepsinde kullanılan tekniklerin toplamı oldukça sabittir" diyor. "Kontrollerinizi yerli yerine oturtun, değerli verilerinizi hedef alan saldırıları tespit etme yeteneklerine sahip olduğunuzdan emin olun ve çalışanlarınızı, süreçlerinizi ve prosedürlerinizi test etmek için simüle edilmiş saldırılar gerçekleştirin."
BlackByte Kritik Altyapıyı Hedefliyor
Bambenek, BlackByte bazı hatalar yaptığı için (yeni sitede ödemeleri kabul etme hatası gibi), kendi bakış açısına göre beceri düzeyinde diğerlerinden biraz daha düşük olabileceğini söylüyor.
"Ancak açık kaynak raporları, kritik altyapıdakiler de dahil olmak üzere hâlâ büyük hedeflerden ödün verdiklerini söylüyor" diyor. "Önemli bir altyapı sağlayıcısının, Colonial Pipeline'da gördüğümüzden daha fazlasını yaratacak bir tedarik zinciri sorunu yaratacak fidye yazılımı yoluyla devre dışı bırakılacağı gün geliyor."
Şubat ayında FBI ve ABD Gizli Servisi bir rapor yayınladı. ortak siber güvenlik danışmanlığı BlackByte'ta, fidye yazılımını dağıtan saldırganların en az üç ABD kritik altyapı sektöründeki kuruluşlara bulaştığı konusunda uyarıda bulundu.
