BlackByte Ransomware Group атаковала команду San Francisco 49ers в преддверии Суперкубка
Сан-Франциско Форти Найнерс подтверждают, что они подверглись нападению за несколько часов до начала Суперкубка. Банда вымогателей BlackByte взяла на себя ответственность.
В официальном заявлении команды говорится, что «недавно стало известно об инциденте сетевой безопасности», который вызвал сбой в их корпоративной сети. Группа украла финансовые документы команды.
Представитель San Francisco 49ers заявил, что после того, как стало известно о кибератаке, к сдерживанию атаки были привлечены сторонние фирмы по кибербезопасности, и правоохранительные органы также были проинформированы.
«Хотя расследование продолжается, мы считаем, что инцидент ограничен нашей корпоративной ИТ-сетью, на сегодняшний день у нас нет никаких признаков того, что этот инцидент связан с системами за пределами нашей корпоративной сети, такими как те, которые связаны с операциями владельцев билетов на стадионе Levi's. Поскольку расследование продолжается, мы прилагаем все усилия, чтобы восстановить задействованные системы как можно быстрее и безопаснее», — сказал представитель San Francisco 49ers.
После инцидента San Francisco 49ers также появились на сайте банды вымогателей BlackByte в воскресенье. Группа разместила некоторые украденные документы команды в даркнете в файле под названием «Счета за 2020 год». Банда вымогателей не предъявляла никаких требований и не уточнила, сколько данных было украдено.
San Francisco 49ers появились на официальном сайте утечки BlackByte. (Изображение: ZDNet)
Атака на San Francisco 49ers произошла через день после предупреждения ФБР о банде вымогателей BlackByte. Согласно предупреждению ФБР:
«По состоянию на ноябрь 2021 года программа-вымогатель BlackByte скомпрометировала несколько американских и иностранных компаний, в том числе организации как минимум в трех критических секторах инфраструктуры США (государственные объекты, финансы, а также продовольствие и сельское хозяйство). BlackByte — это группа программ-вымогателей как услуга (RaaS), которая шифрует файлы на скомпрометированных хост-системах Windows, включая физические и виртуальные серверы».
Согласно отчету ФБР, злоумышленники используют уязвимости Microsoft Exchange для доступа к сетям. Получив доступ к сети, хакеры могут использовать различные инструменты для перемещения по сети с целью «повышения привилегий перед шифрованием файлов ». В нескольких случаях группа вымогателей BlackByte имела только частично зашифрованные файлы.
Отчет Red Canary показал, что программа-вымогатель BlackByte получила доступ к сети, используя уязвимости ProxyShell на клиентском сервере Microsoft Exchange. К таким уязвимостям относятся CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.
В прошлом году появилась группа программ-вымогателей BlackByte, преследующая известные цели в США. Исследование Trustwave показало, что программа-вымогатель BlackByte использует тот же ключ для шифрования украденных файлов в AES. Вместо использования уникального ключа для каждого сеанса группа использует один и тот же ключ. Trustwave также загрузил дешифратор BlackByte на GitHub.
По данным ФБР, вторая версия вымогателя была выпущена в ноябре. Бретт Кэллоу, эксперт Emsisoft по программам-вымогателям, сказал, что BlackByte — это операция Ransomware-as-a-Service (RaaS), и злоумышленники, использующие ее для проведения кибератак, не обязательно могут находиться в одной и той же стране.
Кэллоу сказал, что, как и другие типы программ-вымогателей, «BlackByte не шифрует компьютеры, использующие язык России и постсоветских стран ». По его словам, это не означает, что злоумышленники, стоящие за этим инцидентом, находятся в России. «Любой может использовать это вредоносное ПО для проведения атак », — говорит Кэллоу.
За последние несколько месяцев группы программ-вымогателей нанесли ущерб высокопоставленным целям. Некоторые громкие дела в этом месяце включают атаку Vodafone Portugal и кибератаку на бельгийские и голландские порты.