Το BlackByte Ransomware Gang επιστρέφει με παρουσία στο Twitter, κλιμακωτή τιμολόγηση

Η ομάδα ransomware BlackByte, η οποία έχει συνδέσεις με την Conti, επανεμφανίστηκε μετά από μια παύση με μια νέα παρουσία στα μέσα κοινωνικής δικτύωσης στο Twitter και νέες μεθόδους εκβιασμού που δανείστηκαν από την πιο γνωστή συμμορία LockBit 3.0.

Σύμφωνα με αναφορές, το Η ομάδα ransomware χρησιμοποιεί διάφορες λαβές Twitter για την προώθηση της ενημερωμένης στρατηγικής εκβιασμών, του ιστότοπου διαρροών και των δημοπρασιών δεδομένων. Το νέο σύστημα επιτρέπει στα θύματα να πληρώσουν για να παρατείνουν τη δημοσίευση των κλεμμένων δεδομένων τους κατά 24 ώρες (5,000 $), να κατεβάσουν τα δεδομένα (200,000 $) ή να καταστρέψουν όλα τα δεδομένα (300,000 $). Είναι μια στρατηγική η Ομάδα LockBit 3.0 ήδη πρωτοπόρος.

«Δεν αποτελεί έκπληξη το γεγονός ότι η BlackByte βγάζει μια σελίδα από το βιβλίο του LockBit, όχι μόνο ανακοινώνοντας την έκδοση 2 της λειτουργίας ransomware, αλλά και υιοθετώντας την πληρωμή για καθυστέρηση, λήψη ή καταστροφή του μοντέλου εκβιασμού», λέει η Nicole Hoffman, ανώτερη υπηρεσία πληροφοριών για απειλές στον κυβερνοχώρο. αναλυτής της Digital Shadows, ο οποίος αποκαλεί την αγορά για ομάδες ransomware «ανταγωνιστική» και εξηγεί ότι το LockBit είναι μια από τις πιο παραγωγικές και ενεργές ομάδες ransomware παγκοσμίως.

Ο Χόφμαν προσθέτει ότι είναι πιθανό η BlackByte να προσπαθεί να αποκτήσει ανταγωνιστικό πλεονέκτημα ή να προσπαθεί να κερδίσει την προσοχή των μέσων ενημέρωσης για να προσλάβει και να αναπτύξει τις δραστηριότητές της.

"Παρόλο που το μοντέλο διπλού εκβιασμού δεν σπάει με κανέναν τρόπο, αυτό το νέο μοντέλο μπορεί να είναι ένας τρόπος για τις ομάδες να εισάγουν πολλαπλές ροές εσόδων», λέει. «Θα είναι ενδιαφέρον να δούμε αν αυτό το νέο μοντέλο γίνεται τάση μεταξύ άλλων ομάδων ransomware ή απλώς μια μόδα που δεν υιοθετείται ευρέως».

Ο Oliver Tavakoli, CTO της Vectra, αποκαλεί αυτή την προσέγγιση «ενδιαφέρουσα επιχειρηματική καινοτομία».

«Επιτρέπει τη συλλογή μικρότερων πληρωμών από θύματα που είναι σχεδόν βέβαιοι ότι δεν θα πληρώσουν τα λύτρα, αλλά θέλουν να αντισταθμίσουν για μια ή δύο ημέρες καθώς ερευνούν την έκταση της παραβίασης», λέει.

Ο John Bambenek, κύριος κυνηγός απειλών στη Netenrich, επισημαίνει ότι οι ηθοποιοί ransomware έχουν παίξει με μια ποικιλία μοντέλων για να μεγιστοποιήσουν τα έσοδά τους.

"Αυτό μοιάζει σχεδόν με ένα πείραμα για το αν μπορούν να πάρουν χαμηλότερα επίπεδα χρημάτων", λέει. «Απλώς δεν ξέρω γιατί κάποιος θα τους πλήρωνε οτιδήποτε εκτός από την καταστροφή όλων των δεδομένων. Τούτου λεχθέντος, οι επιτιθέμενοι, όπως κάθε κλάδος, πειραματίζονται με επιχειρηματικά μοντέλα όλη την ώρα».

Προκαλώντας αναστάτωση με κοινές τακτικές

Το BlackByte παρέμεινε μία από τις πιο κοινές παραλλαγές ransomware, μολύνοντας οργανισμούς παγκοσμίως και προηγουμένως χρησιμοποιούσε μια ικανότητα τύπου worm παρόμοια με τον πρόδρομο Ryuk του Conti. Αλλά ο Harrison Van Riper, ανώτερος αναλυτής πληροφοριών στο Red Canary, σημειώνει ότι το BlackByte είναι μόνο μία από τις πολλές λειτουργίες ransomware-as-a-service (RaaS) που έχουν τη δυνατότητα να προκαλέσουν μεγάλη αναστάτωση με σχετικά κοινές τακτικές και τεχνικές.

«Όπως οι περισσότεροι χειριστές ransomware, οι τεχνικές που χρησιμοποιεί το BlackByte δεν είναι ιδιαίτερα εξελιγμένες, αλλά αυτό δεν σημαίνει ότι δεν έχουν αντίκτυπο», λέει. «Η επιλογή παράτασης του χρονοδιαγράμματος του θύματος είναι πιθανώς μια προσπάθεια να λάβουν τουλάχιστον κάποιο είδος πληρωμής από τα θύματα που μπορεί να θέλουν επιπλέον χρόνο για διάφορους λόγους: για να καθοριστεί η νομιμότητα και το εύρος της κλοπής δεδομένων ή να συνεχιστεί η συνεχής εσωτερική συζήτηση για το πώς να απαντήστε, για να αναφέρω μερικούς λόγους».

Ο Tavakoli λέει ότι οι επαγγελματίες της κυβερνοασφάλειας θα πρέπει να βλέπουν το BlackByte λιγότερο ως μεμονωμένο στατικό παράγοντα και περισσότερο ως μια επωνυμία που μπορεί να έχει μια νέα καμπάνια μάρκετινγκ συνδεδεμένη με αυτό ανά πάσα στιγμή. σημειώνει ότι το σύνολο των υποκείμενων τεχνικών για την πραγματοποίηση των επιθέσεων σπάνια αλλάζει.

"Το ακριβές κακόβουλο λογισμικό ή ο φορέας εισόδου που χρησιμοποιείται από μια συγκεκριμένη επωνυμία ransomware μπορεί να αλλάξει με την πάροδο του χρόνου, αλλά το άθροισμα των τεχνικών που χρησιμοποιούνται σε όλα είναι αρκετά σταθερό", λέει. "Εγκαταστήστε τους ελέγχους σας, βεβαιωθείτε ότι έχετε δυνατότητες ανίχνευσης για επιθέσεις που στοχεύουν τα πολύτιμα δεδομένα σας και εκτελείτε προσομοιωμένες επιθέσεις για να δοκιμάσετε τους ανθρώπους, τις διαδικασίες και τις διαδικασίες σας."

Το BlackByte στοχεύει την κρίσιμη υποδομή

Ο Bambenek λέει ότι επειδή το BlackByte έχει κάνει κάποια λάθη (όπως ένα σφάλμα με την αποδοχή πληρωμών στον νέο ιστότοπο), από την άποψή του μπορεί να είναι λίγο χαμηλότερο σε επίπεδο δεξιοτήτων από άλλα.

«Ωστόσο, οι αναφορές ανοιχτού κώδικα λένε ότι εξακολουθούν να διακυβεύουν μεγάλους στόχους, συμπεριλαμβανομένων εκείνων σε υποδομές ζωτικής σημασίας», λέει. «Έρχεται η μέρα που ένας σημαντικός πάροχος υποδομής θα καταργηθεί μέσω ransomware που θα δημιουργήσει κάτι περισσότερο από ένα πρόβλημα αλυσίδας εφοδιασμού από ό,τι είδαμε με την Colonial Pipeline».

Τον Φεβρουάριο, το FBI και οι μυστικές υπηρεσίες των ΗΠΑ αφέθηκαν ελεύθεροι
a κοινή συμβουλευτική για την ασφάλεια στον κυβερνοχώρο στο BlackByte, προειδοποιώντας ότι οι εισβολείς που ανέπτυξαν το ransomware είχαν μολύνει οργανισμούς σε τουλάχιστον τρεις κρίσιμους τομείς υποδομής των ΗΠΑ.