Le gang de rançongiciels BlackByte semble avoir fait son retour après avoir ciblé au moins trois secteurs d’infrastructures critiques aux États-Unis, selon un avis du FBI et des services secrets.
BlackByte est une opération de ransomware-as-a-service (RaaS) qui loue son infrastructure de ransomware à d’autres en échange d’un pourcentage du produit de la rançon. Le gang est apparu en juillet 2021 lorsqu’il a commencé à exploiter les vulnérabilités logicielles pour cibler les entreprises victimes dans le monde entier. Alors que BlackByte a connu un certain succès initial – des chercheurs en sécurité ont suivi les attaques contre les industries de la fabrication, de la santé et de la construction aux États-Unis, en Europe et en Australie – le gang a connu une période difficile des mois plus tard lorsque la société de cybersécurité Trustwave a publié un outil de décryptage gratuit qui a permis aux victimes de BlackByte de récupérer leur fichiers gratuitement. Les techniques de cryptage simplistes du groupe ont amené certains à croire que le ransomware était l’œuvre d’amateurs ; le rançongiciel a téléchargé et exécuté la même clé pour chiffrer les fichiers dans AES, plutôt que des clés uniques pour chaque session.
Malgré ce revers, il semble que l’opération BlackByte soit de retour avec une vengeance. Dans une alerte publiée vendredi, le FBI et les services secrets (USSS) ont averti que le gang de rançongiciels avait compromis plusieurs entreprises américaines et étrangères, dont « au moins » trois attaques contre des infrastructures critiques américaines, notamment des installations gouvernementales, des services financiers et dans l’alimentation. et agricole.
L’avis, qui fournit des indicateurs de compromis pour aider les défenseurs du réseau à identifier les intrusions de BlackByte, a été publié quelques jours seulement avant que le gang de rançongiciels prétende avoir chiffré le réseau appartenant aux 49ers de San Francisco. BlackByte a révélé l’attaque la veille du Super Bowl en divulguant un petit nombre de fichiers qu’il prétend avoir été volés.
Brett Callow, expert en ransomware et analyste des menaces chez Emsisoft, explique à TechCrunch que si BlackByte n’est pas l’opération RaaS la plus active, elle n’a cessé de faire des victimes au cours des derniers mois. Cependant, il ajoute qu’en raison de l’action récente du gouvernement américain contre les acteurs du ransomware, le gang pourrait adopter une approche prudente.
« L’avis du FBI et de l’USSS indique que BlackByte a été déployé dans des attaques contre au moins trois secteurs d’infrastructures critiques aux États-Unis, y compris le gouvernement. Fait intéressant, aucune de ces organisations n’est répertoriée sur le site de fuite du gang, ce qui pourrait indiquer que ces organisations ont payé, qu’aucune donnée n’a été exfiltrée ou que BlackByte a choisi de ne pas divulguer les données exfiltrées », a-t-il déclaré. « Cette dernière option n’est pas improbable : depuis les arrestations de membres de REvil, les gangs semblent être devenus plus prudents quant à la divulgation de données, et en particulier dans le cas des organisations américaines. »
Callow a déclaré que même si tous les signes suggèrent que BlackByte est basé en Russie, puisque le rançongiciel, comme REvil, est codé pour ne pas crypter les données des systèmes qui utilisent les langues russe ou CEI – cela « ne devrait pas être interprété comme signifiant que l’attaque a été menée par des individus basés en Russie ou dans la CEI.
« Les affiliés peuvent ne pas être situés dans le même comté que les personnes qui gèrent le RaaS », a-t-il ajouté. « Ils pourraient être basés n’importe où, y compris aux États-Unis »