Група програм-вимагачів BlackByte, пов’язана з Conti, відновилася після певної перерви завдяки новій присутності в соціальних мережах у Twitter і нових методів вимагання, запозичених у більш відомої банди LockBit 3.0.
Згідно з повідомленнями, в група програм-вимагачів використовує різні дескриптори Twitter для просування оновленої стратегії вимагання, сайту витоку та аукціонів даних. Нова схема дозволяє жертвам платити за продовження публікації їхніх викрадених даних на 24 години ($5,000), завантажувати дані ($200,000 300,000) або знищувати всі дані ($XNUMX XNUMX). Це стратегія Група LockBit 3.0 вже піонером.
«Не дивно, що BlackByte займає сторінку з книги LockBit, не лише оголосивши про версію 2 своєї операції з програмами-вимагачами, але й запровадивши модель вимагання за затримку, завантаження або знищення», — каже Ніколь Хоффман, старший спеціаліст служби кіберзагроз. аналітик Digital Shadows, який називає ринок груп програм-вимагачів «конкурентоспроможним» і пояснює, що LockBit є однією з найплідніших і найактивніших груп програм-вимагачів у всьому світі.
Хоффман додає, що, можливо, BlackByte намагається отримати конкурентну перевагу або намагається привернути увагу ЗМІ, щоб залучити та розширити свою діяльність.
“Хоча модель подвійного вимагання жодним чином не порушено, ця нова модель може бути способом для груп запровадити кілька джерел доходу», – каже вона. «Буде цікаво подивитися, чи стане ця нова модель трендом серед інших груп програм-вимагачів чи просто примхою, яка не має широкого поширення».
Олівер Таваколі, технічний директор Vectra, називає цей підхід «цікавою бізнес-інновацією».
«Це дозволяє стягувати менші платежі від жертв, які майже впевнені, що не заплатять викуп, але хочуть підстрахуватися на день-два, поки дослідять масштаби порушення», — каже він.
Джон Бамбенек, головний мисливець за загрозами в Netenrich, зазначає, що учасники програм-вимагачів використовують різні моделі, щоб максимізувати свій дохід.
«Це виглядає майже як експеримент щодо того, чи зможуть вони отримати нижчі рівні грошей», — каже він. «Я просто не знаю, чому хтось платить їм щось, крім знищення всіх даних. Проте зловмисники, як і будь-яка інша галузь, постійно експериментують із бізнес-моделями».
Спричинення зриву за допомогою загальної тактики
BlackByte залишається одним із найпоширеніших варіантів програм-вимагачів, які заражають організації по всьому світу та раніше використовують можливості хробаків, подібні до попередника Conti Ryuk. Але Гаррісон Ван Ріпер, старший аналітик із розвідки Red Canary, зазначає, що BlackByte — це лише одна з кількох операцій програм-вимагачів як послуга (RaaS), які можуть спричинити багато збоїв за допомогою відносно поширених тактик і методів.
«Як і більшість операторів програм-вимагачів, методи, які використовує BlackByte, не є особливо складними, але це не означає, що вони не є ефективними», — говорить він. «Варіант продовження терміну дії жертви, ймовірно, є спробою отримати принаймні певну оплату від жертв, які можуть потребувати додаткового часу з різних причин: для визначення законності та масштабу викрадення даних або продовження внутрішньої дискусії щодо того, як відповісти, назвати кілька причин».
Таваколі каже, що професіонали з кібербезпеки повинні розглядати BlackByte не як окремого статичного актора, а більше як бренд, до якого можна будь-коли прив’язати нову маркетингову кампанію; він зазначає, що набір базових технік для усунення атак рідко змінюється.
«Точне зловмисне програмне забезпечення або вектор входу, який використовує певний бренд програм-вимагачів, можуть змінюватися з часом, але сума методів, які використовуються в усіх них, є досить постійною», — каже він. «Встановіть засоби контролю, переконайтеся, що у вас є можливості виявлення атак, спрямованих на ваші цінні дані, і запустіть імітацію атак, щоб перевірити своїх людей, процеси та процедури».
BlackByte націлений на критичну інфраструктуру
Бамбенек каже, що через те, що BlackByte припустився деяких помилок (наприклад, помилка з прийомом платежів на новому сайті), з його точки зору він може бути трохи нижчим за рівнем кваліфікації, ніж інші.
«Однак звіти з відкритих джерел говорять, що вони все ще компрометують великі цілі, у тому числі ті, що знаходяться в критичній інфраструктурі», — каже він. «Наближається день, коли значного постачальника інфраструктури буде знищено за допомогою програми-вимагача, що створить більше, ніж просто проблему з ланцюгом поставок, ніж ми бачили з Colonial Pipeline».
У лютому ФБР і Секретна служба США звільнили
a спільні консультації з кібербезпеки на BlackByte, попереджаючи, що зловмисники, які розгорнули програму-вимагач, заразили організації принаймні в трьох секторах критичної інфраструктури США.
