Egy friss fenyegetésre hívja fel a figyelmet a Symantec legutóbbi blogbejegyzése. A biztonsági cég szakértői arról számolnak be, hogy a BlackByte néven ismert, zsarolóvírusát szolgáltatásként kínáló bűnözői csoport eszköztára új elemmel bővült. Utóbbi a kompromittált rendszerekben található adatok gyors kinyerését segíti, hogy aztán az így meglopott szervezetektől a támadók pénzt követelhessenek például azért, hogy ne hozzák nyilvánosságra az információkat.

Az Exbyte névre keresztelt exfiltrációs eszköz windowsos számítógépekre jelent veszélyt azzal, hogy a sikeresen feltört rendszer állományait hatékonyan képes összenyalábolni, majd azokat automatikusan feltölteni a Mega cloudos tárhelyszolgáltatásba. Amint ez megtörténik, a BlackByte alkalmazásával kizárják az eredeti tulajdonost a hálózatból, és indulhat az alkudozás.

A BlackByte jelenleg az egyik legaktívabb bandának számít, amit annak köszönhet, hogy gyorsan betöltötte több korábbi notórius csapat (például a Conti és a Sodinokibi/REvil) feloszlása után keletkező űrt. A Symantec jelentése is arra jut, hogy az a tény, hogy folyamatosan új eszközök hozzáadásával frissül a portfóliójuk is arra utal, hogy aktuálisan a BlackByte jelenti az egyik domináns fenyegetési faktort a zsarolóvírusok területén.

Üstökésként hasítanak

A csapat alig több mint egy éve, 2021 júliusában tűnt fel, de hamar kétes hírnévre tett szert. Ennek következtében az FBI és az USA kiberbiztonságáért felelős ügynökség idén februárban már egy külön rájuk fúkuszáló figyelmeztetést is kiadott. A kormányzati ügynökségek anyagából kiderült, hogy a banda több egyesült államokbeli és külföldi vállalkozások ellen is sikeres műveleteket hajtott végre a közelmúltban. Ezek között pedig minimum három olyan esetről tudni, amely kritikusnak minősített amerikai infrastruktúrát érintett. Más kérdés, hogy a figyelmeztetés sem volt elég ahhoz, hogy alig pár napra rá a San Francisco 49ers amerikaifutball-csapat rendszere ne essen áldozatul a hekkereknek.

Az eszközök mellett egyébként a bűnözők által követett módszerekben is tetten érhető némi fejlődés. A ransomware-eket telepítő csoportok ugyanis egyre többször igyekeznek a rendszerekből megszerzett adatokból is pénzt csinálni. Ha kényes információkról van szó, a célpontok sokszor inkább fizetnek, minthogy azok esetleg nyilvánosságra kerüljenek.

Egyes csoportok ráadásul már elkezdték teljesen kihagyni a sok technológiai bíbelődéssel járó titkosítást, és inkább arra fókuszálnak, hogy az adatporszívózással megszerzett csomaggal zsarolják az áldozataikat. Ezzel maguknak is megspórolnak egy csomó időt és energiát, miközben így is képesek pénzhez jutni.