Nhóm ransomware BlackByte, có kết nối với Conti, đã xuất hiện trở lại sau một thời gian gián đoạn với sự hiện diện mới trên phương tiện truyền thông xã hội trên Twitter và các phương thức tống tiền mới mượn từ băng nhóm LockBit 3.0 nổi tiếng hơn.
Theo báo cáo, nhóm ransomware đang sử dụng nhiều tài khoản Twitter khác nhau để quảng bá chiến lược tống tiền cập nhật, trang web rò rỉ và đấu giá dữ liệu. Chương trình mới cho phép nạn nhân trả tiền để gia hạn xuất bản dữ liệu bị đánh cắp của họ thêm 24 giờ (5,000 đô la), tải xuống dữ liệu (200,000 đô la) hoặc hủy tất cả dữ liệu (300,000 đô la). Đó là một chiến lược Nhóm LockBit 3.0 đã tiên phong rồi.
Nicole Hoffman, chuyên gia tình báo về mối đe dọa mạng cấp cao cho biết: “Không có gì đáng ngạc nhiên khi BlackByte lấy một trang ra khỏi cuốn sách của LockBit bằng cách không chỉ công bố phiên bản 2 của hoạt động ransomware của họ mà còn áp dụng hình thức trả tiền để trì hoãn, tải xuống hoặc phá hủy mô hình tống tiền”. nhà phân tích tại Digital Shadows, người gọi thị trường dành cho các nhóm ransomware là “cạnh tranh” và giải thích LockBit là một trong những nhóm ransomware hoạt động tích cực và phát triển nhất trên toàn cầu.
Hoffman cho biết thêm có thể BlackByte đang cố gắng đạt được lợi thế cạnh tranh hoặc cố gắng thu hút sự chú ý của giới truyền thông để tuyển dụng và phát triển hoạt động của mình.
“Mặc dù mô hình tống tiền kép không bị phá vỡ dưới bất kỳ hình thức nào, mô hình mới này có thể là một cách để các nhóm giới thiệu nhiều nguồn doanh thu,” cô nói. “Sẽ rất thú vị để xem liệu mô hình mới này có trở thành xu hướng của các nhóm ransomware khác hay chỉ là một mốt không được áp dụng rộng rãi.”
Oliver Tavakoli, CTO tại Vectra, gọi cách tiếp cận này là “sự đổi mới kinh doanh thú vị”.
Ông nói: “Nó cho phép thu các khoản thanh toán nhỏ hơn từ những nạn nhân gần như chắc chắn rằng họ sẽ không trả tiền chuộc nhưng muốn phòng ngừa trong một hoặc hai ngày khi họ điều tra mức độ vi phạm”.
John Bambenek, thợ săn mối đe dọa chính tại Netenrich, chỉ ra rằng những kẻ tấn công ransomware đã sử dụng nhiều mô hình khác nhau để tối đa hóa doanh thu của chúng.
“Điều này gần giống như một cuộc thử nghiệm xem liệu họ có thể nhận được mức tiền thấp hơn hay không,” anh nói. “Tôi chỉ không biết tại sao mọi người lại trả cho họ bất cứ thứ gì ngoại trừ việc hủy tất cả dữ liệu. Điều đó nói lên rằng, những kẻ tấn công, giống như bất kỳ ngành nào, luôn thử nghiệm các mô hình kinh doanh.”
Gây gián đoạn bằng các chiến thuật thông thường
BlackByte vẫn là một trong những biến thể ransomware phổ biến hơn, lây nhiễm cho các tổ chức trên toàn thế giới và trước đây sử dụng khả năng sâu tương tự như tiền thân của Conti là Ryuk. Nhưng Harrison Van Riper, nhà phân tích tình báo cấp cao tại Red Canary, lưu ý rằng BlackByte chỉ là một trong số các hoạt động ransomware-as-a-service (RaaS) có khả năng gây ra nhiều gián đoạn bằng các chiến thuật và kỹ thuật tương đối phổ biến.
Ông nói: “Giống như hầu hết các nhà khai thác ransomware, các kỹ thuật mà BlackByte sử dụng không đặc biệt phức tạp, nhưng điều đó không có nghĩa là chúng không có tác động”. “Tùy chọn kéo dài dòng thời gian của nạn nhân có thể là một nỗ lực để nhận được ít nhất một số khoản thanh toán từ những nạn nhân có thể muốn có thêm thời gian vì nhiều lý do: để xác định tính hợp pháp và phạm vi của hành vi trộm cắp dữ liệu hoặc tiếp tục thảo luận nội bộ đang diễn ra về cách xử lý.” trả lời, nêu tên một vài lý do.”
Tavakoli nói rằng các chuyên gia an ninh mạng nên xem BlackByte ít hơn như một tác nhân tĩnh riêng lẻ mà giống như một thương hiệu có thể có một chiến dịch tiếp thị mới gắn liền với nó bất cứ lúc nào; ông lưu ý rằng tập hợp các kỹ thuật cơ bản để thực hiện các cuộc tấn công hiếm khi thay đổi.
Ông nói: “Phần mềm độc hại hoặc vectơ xâm nhập chính xác được sử dụng bởi một thương hiệu ransomware nhất định có thể thay đổi theo thời gian, nhưng tổng số kỹ thuật được sử dụng trên tất cả chúng là khá cố định”. “Hãy sẵn sàng các biện pháp kiểm soát, đảm bảo bạn có khả năng phát hiện các cuộc tấn công nhắm vào dữ liệu có giá trị của mình và chạy các cuộc tấn công mô phỏng để kiểm tra con người, quy trình và thủ tục của bạn.”
BlackByte nhắm mục tiêu cơ sở hạ tầng quan trọng
Bambenek nói rằng vì BlackByte đã mắc một số sai sót (chẳng hạn như lỗi chấp nhận thanh toán trên trang web mới), theo quan điểm của anh ấy, trình độ kỹ năng của anh ấy có thể thấp hơn một chút so với những người khác.
Ông nói: “Tuy nhiên, báo cáo nguồn mở cho biết họ vẫn đang xâm phạm các mục tiêu lớn, bao gồm cả những mục tiêu trong cơ sở hạ tầng quan trọng”. “Sắp đến ngày một nhà cung cấp cơ sở hạ tầng quan trọng bị hạ gục thông qua ransomware, điều này sẽ không chỉ tạo ra vấn đề về chuỗi cung ứng như những gì chúng ta đã thấy với Colonial Pipeline.”
Vào tháng 2, FBI và Cơ quan Mật vụ Hoa Kỳ đã công bố
a tư vấn an ninh mạng chung trên BlackByte, cảnh báo rằng những kẻ tấn công triển khai ransomware đã lây nhiễm các tổ chức ở ít nhất ba lĩnh vực cơ sở hạ tầng quan trọng của Hoa Kỳ.
