Il gruppo ransomware BlackByte, che ha collegamenti con Conti, è riemerso dopo una pausa con una nuova presenza sui social media su Twitter e nuovi metodi di estorsione presi in prestito dalla più nota gang LockBit 3.0.
Secondo i rapporti, il gruppo ransomware utilizza vari handle di Twitter per promuovere la strategia di estorsione aggiornata, il sito di fuga e le aste di dati. Il nuovo schema consente alle vittime di pagare per estendere la pubblicazione dei dati rubati di 24 ore ($ 5,000), scaricare i dati ($ 200,000) o distruggere tutti i dati ($ 300,000). È una strategia il Gruppo LockBit 3.0 già sperimentato.
"Non sorprende che BlackByte stia prendendo una pagina dal libro di LockBit non solo annunciando una versione 2 della loro operazione di ransomware, ma adottando anche il modello di estorsione pagata per ritardare, scaricare o distruggere", afferma Nicole Hoffman, senior cyber-threat intelligence analista di Digital Shadows, che definisce il mercato dei gruppi di ransomware "competitivo" e spiega che LockBit è uno dei gruppi di ransomware più prolifici e attivi a livello globale.
Hoffman aggiunge che è possibile che BlackByte stia cercando di ottenere un vantaggio competitivo o che stia cercando di attirare l'attenzione dei media per reclutare e far crescere le sue operazioni.
"Sebbene il modello a doppia estorsione non è rotto in alcun modo, questo nuovo modello potrebbe essere un modo per i gruppi di introdurre più flussi di entrate", afferma. "Sarà interessante vedere se questo nuovo modello diventerà una tendenza tra altri gruppi di ransomware o solo una moda passeggera non ampiamente adottata".
Oliver Tavakoli, CTO di Vectra, definisce questo approccio una "interessante innovazione aziendale".
"Consente di raccogliere pagamenti più piccoli dalle vittime che sono quasi certe che non pagheranno il riscatto ma vogliono proteggersi per un giorno o due mentre indagano sull'entità della violazione", afferma.
John Bambenek, principale cacciatore di minacce di Netenrich, sottolinea che gli attori di ransomware hanno giocato con una varietà di modelli per massimizzare le proprie entrate.
"Sembra quasi un esperimento sulla possibilità di ottenere livelli di denaro inferiori", afferma. “Semplicemente non so perché qualcuno dovrebbe pagare loro qualcosa se non per distruggere tutti i dati. Detto questo, gli aggressori, come qualsiasi settore, sperimentano continuamente modelli di business".
Causando interruzioni con le tattiche comuni
BlackByte è rimasta una delle varianti di ransomware più comuni, infettando organizzazioni in tutto il mondo e utilizzando in precedenza una capacità di worm simile al precursore di Conti Ryuk. Ma Harrison Van Riper, analista di intelligence senior di Red Canary, osserva che BlackByte è solo una delle numerose operazioni di ransomware-as-a-service (RaaS) che hanno il potenziale per causare molte interruzioni con tattiche e tecniche relativamente comuni.
"Come la maggior parte degli operatori di ransomware, le tecniche utilizzate da BlackByte non sono particolarmente sofisticate, ma ciò non significa che non abbiano un impatto", afferma. "L'opzione di estendere la sequenza temporale della vittima è probabilmente uno sforzo per ottenere almeno una sorta di pagamento dalle vittime che potrebbero volere più tempo per una serie di motivi: determinare la legittimità e la portata del furto di dati o continuare la discussione interna in corso su come rispondi, per citare un paio di ragioni.
Tavakoli afferma che i professionisti della sicurezza informatica dovrebbero considerare BlackByte meno come un attore statico individuale e più come un marchio che può avere una nuova campagna di marketing legata ad esso in qualsiasi momento; nota che l'insieme delle tecniche sottostanti per portare a termine gli attacchi cambia di rado.
"Il malware preciso o il vettore di ingresso utilizzato da un determinato marchio di ransomware può cambiare nel tempo, ma la somma delle tecniche utilizzate in tutti è piuttosto costante", afferma. "Ottieni i tuoi controlli, assicurati di avere capacità di rilevamento per gli attacchi che prendono di mira i tuoi dati preziosi ed esegui attacchi simulati per testare persone, processi e procedure".
BlackByte prende di mira le infrastrutture critiche
Bambenek afferma che poiché BlackByte ha commesso alcuni errori (come un errore nell'accettare pagamenti nel nuovo sito), dal suo punto di vista potrebbe essere un po' inferiore al livello di abilità rispetto ad altri.
"Tuttavia, i report open source affermano che stanno ancora compromettendo i grandi obiettivi, compresi quelli nelle infrastrutture critiche", afferma. "Sta arrivando il giorno in cui un importante fornitore di infrastrutture verrà bloccato tramite un ransomware che creerà più di un semplice problema alla catena di approvvigionamento rispetto a quello che abbiamo visto con Colonial Pipeline".
A febbraio, l'FBI e i servizi segreti statunitensi sono stati rilasciati
a consulenza congiunta sulla sicurezza informatica su BlackByte, avvertendo che gli aggressori che hanno distribuito il ransomware avevano infettato organizzazioni in almeno tre settori delle infrastrutture critiche degli Stati Uniti.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
