آغاز فعالیت دوباره یک باج افزار با تکنیکهای جدید اخاذی
با انتشار سایت جدید نشت دادهها و با بهکارگیری تکنیکهای جدید اخاذی الگو گرفته شده از LockBit، فعالیت باجافزار ۲.BlackByte دوباره ازسرگرفته شده است.
مهاجمان اکنون استراتژیهای جدیدی برای اخاذی دارند که به قربانیان اجازه میدهد تا برای تمدید مهلت پرداخت باج و عدم انتشار دادهها تا ۲۴ ساعت، ۵ هزار دلار، عدم بهاشتراکگذاری دادهها، ۲۰۰ هزار دلار، یا حذف تمامی دادههای سرقت شده، ۳۰۰ هزار دلار هزینه پرداخت کنند. این قیمتها احتمالاً بسته به میزان درآمد هر قربانی تغییر خواهند کرد.
با اینحال، سایت جدید نشت داده باجافزار BlackByte، نشانیهای بیتکوین و مونرو را که «مشتریان» میتوانند برای خرید یا حذف دادهها از آنها استفاده کنند، بهدرستی جاسازی نمیکند و این موجب عدم اجرای صحیح قابلیتهای جدید میشود.
بر اساس اعلام مرکز مدیریت راهبردی افتا، به نظر میرسد که هدف از تکنیکهای جدید اخاذی این است که به قربانی اجازه داده شود تا برای حذف دادههای خود پول پرداخت کند و یا در صورت تمایل، سایر مهاجمان دادههای سرقتشده را خریداری کنند.
LockBit 3.0نیز چنین تکنیکهای اخاذی را معرفی کرده است که بیشتر بهعنوان یک ترفند به نظر میرسد تا تکنیک اخاذی قابلاجرا.
باجافزار BlackByte سعی میکند بسیاری از پروسههای مربوط به محصولات امنیتی، سرور ایمیل و پایگاهدادهها را برای رمزگذاری موفق سیستمها، از کار بیندازد؛ برای مثال این باجافزار قبل از رمزگذاری فایلها، Microsoft Defender را در سیستمهای قربانیان غیرفعال میکند. مهاجمان با سوءاستفاده از آسیبپذیریهای امنیتی به شبکهها نفوذ کرده و زنجیره حمله ProxyShell به سرورهای Microsoft Exchange را نیز در کارنامه دارند.
محققان در پاییز سال گذشته، به این نکته پی بردند که گروه باجافزاری BlackByte، کلید رمزگذاری را پس از کد کردن، به اطلاعیه باجگیری (Ransom Note) اضافه کرده و از کلید مشابه برای چندین قربانی استفاده میکنند؛ در پی شناسایی ضعف یادشده در این باجافزار، محققان رمزگشای BlackByte را منتشر کردند که به قربانیان این باجافزار اجازه میداد فایلهای خود را بهصورت رایگان بازیابی کنند؛ البته متأسفانه پس از انتشار گزارش این ضعف، مهاجمان نقص مذکور را برطرف کردند.