Conti ile bağlantıları olan BlackByte fidye yazılımı grubu, Twitter’da yeni bir sosyal medya varlığı ve daha iyi bilinen LockBit 3.0 çetesinden ödünç alınan yeni gasp yöntemleri ile bir aradan sonra yeniden ortaya çıktı.
Raporlara göre, fidye yazılımı grubu çeşitli Twitter tanıtıcıları kullanıyor güncellenmiş gasp stratejisini, sızıntı sitesini ve veri açık artırmalarını teşvik etmek. Yeni sistem, kurbanların çalınan verilerinin yayınlanmasını 24 saat (5.000 $) uzatmak, verileri indirmek (200.000 $) veya tüm verileri yok etmek (300.000 $) için ödeme yapmalarına izin veriyor. LockBit 3.0 grubunun zaten öncülük ettiği bir strateji.
Kıdemli siber tehdit istihbaratı Nicole Hoffman, “BlackByte’ın yalnızca fidye yazılımı operasyonlarının 2. versiyonunu duyurarak değil, aynı zamanda geciktirmek, indirmek veya yok etmek için ödeme modelini benimseyerek LockBit’in kitabından bir sayfa çıkarması şaşırtıcı değil” diyor. Fidye yazılımı grupları pazarını “rekabetçi” olarak nitelendiren ve LockBit’in küresel olarak en üretken ve aktif fidye yazılımı gruplarından biri olduğunu açıklayan Digital Shadows analisti.
Hoffman, BlackByte’ın bir rekabet avantajı elde etmeye veya operasyonlarını işe almak ve büyütmek için medyanın ilgisini çekmeye çalışmasının mümkün olduğunu ekliyor.
“Çifte gasp modeli hiçbir şekilde bozulmamış olsa da, bu yeni model, grupların birden fazla gelir akışı sunmasının bir yolu olabilir” diyor. “Bu yeni modelin diğer fidye yazılımı grupları arasında bir trend mi yoksa yaygın olarak benimsenmeyen bir moda mı olduğunu görmek ilginç olacak.”
Vectra CTO’su Oliver Tavakoli, bu yaklaşımı “ilginç bir iş yeniliği” olarak adlandırıyor.
“Fidyeyi ödemeyeceklerinden neredeyse emin olan ancak ihlalin kapsamını araştırırken bir veya iki günlüğüne riskten korunmak isteyen mağdurlardan daha küçük ödemeler alınmasına izin veriyor” diyor.
Netenrich’teki başlıca tehdit avcısı John Bambinek, fidye yazılımı aktörlerinin gelirlerini en üst düzeye çıkarmak için çeşitli modellerle uğraştığına dikkat çekiyor.
“Bu, daha düşük seviyelerde para kazanabilecekleri konusunda bir deney gibi görünüyor” diyor. “Tüm verileri yok etmek dışında neden birinin onlara herhangi bir şey ödeyeceğini bilmiyorum. Bununla birlikte, saldırganlar, herhangi bir endüstri gibi, her zaman iş modellerini deniyorlar.”
Ortak Taktiklerle Kargaşaya Neden Olmak
BlackByte, dünya çapındaki kuruluşlara bulaşan ve daha önce Conti’nin öncüsü Ryuk’a benzer bir solucan özelliği kullanan en yaygın fidye yazılımı türlerinden biri olmaya devam etti. Ancak Red Canary’de kıdemli istihbarat analisti Harrison Van Riper, BlackByte’ın nispeten yaygın taktik ve tekniklerle çok fazla kesintiye neden olma potansiyeline sahip birkaç hizmet olarak fidye yazılımı (RaaS) operasyonundan sadece biri olduğunu belirtiyor.
“Çoğu fidye yazılımı operatörü gibi, BlackByte’ın kullandığı teknikler özellikle karmaşık değil, ancak bu onların etkili olmadığı anlamına gelmiyor” diyor. “Mağdurun zaman çizelgesini uzatma seçeneği, çeşitli nedenlerle fazladan zaman isteyebilecek mağdurlardan en azından bir tür ödeme alma çabasıdır: veri hırsızlığının meşruiyetini ve kapsamını belirlemek veya nasıl yapılacağına dair devam eden iç tartışmaya devam etmek. cevap, birkaç neden saymak gerekirse.”
Tavakoli, siber güvenlik profesyonellerinin BlackByte’ı bireysel statik bir aktör olarak görmekten çok, kendisine her an yeni bir pazarlama kampanyası bağlayabilecek bir marka olarak görmeleri gerektiğini söylüyor; Nadiren değişen saldırıları gerçekleştirmek için temel tekniklerin kümesini not eder.
“Belirli bir fidye yazılımı markası tarafından kullanılan kesin kötü amaçlı yazılım veya giriş vektörü zamanla değişebilir, ancak hepsinde kullanılan tekniklerin toplamı oldukça sabittir” diyor. “Kontrollerinizi yapın, değerli verilerinizi hedef alan saldırılar için algılama yeteneklerine sahip olduğunuzdan emin olun ve çalışanlarınızı, süreçlerinizi ve prosedürlerinizi test etmek için simüle edilmiş saldırılar çalıştırın.”
BlackByte Kritik Altyapıyı Hedefliyor
Bambenek, BlackByte bazı hatalar yaptığı için (yeni sitede ödemeleri kabul etme hatası gibi), kendi bakış açısına göre beceri düzeyinde diğerlerinden biraz daha düşük olabileceğini söylüyor.
“Ancak, açık kaynak raporlama, kritik altyapıdakiler de dahil olmak üzere hala büyük hedeflerden ödün verdiklerini söylüyor” diyor. “Colonial Pipeline’da gördüğümüzden daha fazla bir tedarik zinciri sorunundan daha fazlasını yaratacak önemli bir altyapı sağlayıcısının fidye yazılımları aracılığıyla devre dışı bırakılacağı gün geliyor.”
Şubat ayında FBI ve ABD Gizli Servisi, BlackByte hakkında ortak bir siber güvenlik tavsiyesi yayınlayarak, fidye yazılımını dağıtan saldırganların en az üç ABD kritik altyapı sektöründeki kuruluşlara bulaştığı konusunda uyardı.