BlackByte Ransomware Group ründas San Francisco 49ersit Super Bowli ees
San Francisco 49ers kinnitab, et neid on rünnatud tunde enne Super Bowli algust. BlackByte'i lunavarajõuk võtab endale vastutuse.
Ametlikus avalduses teatas meeskond, et "ta sai hiljuti teada võrguturbeintsidendist", mis põhjustas häire nende ettevõtte võrgus. Rühm varastas meeskonna finantsdokumendid.
San Francisco 49ersi pressiesindaja ütles, et pärast küberrünnakust teadasaamist kaasati rünnaku ohjeldamisse kolmandatest osapooltest küberjulgeolekufirmad ning sellest on teavitatud ka õiguskaitseorganeid.
"Kuigi uurimine jätkub, usume, et juhtum piirdub meie ettevõtte IT-võrguga, kuid siiani pole meil mingeid märke, et see juhtum oleks hõlmanud süsteeme väljaspool meie ettevõtte võrku, näiteks neid, mis on ühendatud piletiomanike Levi's Stadiumi tegevustega. Uurimise jätkudes töötame usinalt, et taastada kaasatud süsteemid võimalikult kiiresti ja ohutult," ütles San Francisco 49ersi pressiesindaja.
Pärast vahejuhtumit ilmus pühapäeval BlackByte'i lunavarajõugu saidile ka San Francisco 49ers. Grupp postitas mõned meeskonna varastatud dokumendid pimedasse veebi faili nimega 2020 Arved. Lunavarajõuk pole lunavara nõudeid esitanud ega täpsustanud, kui palju andmeid on varastatud.
San Francisco 49ers ilmus BlackByte'i ametlikule lekkesaidile. (Pilt: ZDNet)
Rünnak San Francisco 49ersile toimus päev pärast FBI hoiatust BlackByte'i lunavarajõugu kohta. FBI hoiatuse kohaselt:
"2021. aasta novembri seisuga oli BlackByte'i lunavara ohustanud mitut USA ja välismaist ettevõtet, sealhulgas ettevõtteid vähemalt kolmes USA kriitilise infrastruktuuri sektoris (valitsuse rajatised, rahandus ning toit ja põllumajandus). BlackByte on Ransomware as a Service (RaaS) grupp, mis krüptib faile ohustatud Windowsi hostsüsteemides, sealhulgas füüsilistes ja virtuaalserverites.
FBI aruande kohaselt kasutavad ohustajad võrkudele juurdepääsuks Microsoft Exchange'i haavatavusi. Kui häkkerid saavad võrgule juurdepääsu, saavad nad kasutada erinevaid tööriistu, et liikuda üle võrgu, et " õigusi enne failide krüptimist suurendada ". Mõne juhtumi korral on BlackByte'i lunavararühmal failid ainult osaliselt krüptitud.
Red Canary aruanne näitas, et BlackByte'i lunavara sai juurdepääsu võrgule, kasutades ära kliendi Microsoft Exchange'i serveri ProxyShelli haavatavusi . Nende haavatavuste hulka kuuluvad CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.
BlackByte'i lunavaragrupp tekkis eelmisel aastal kõrgetasemeliste sihtmärkidega kogu USA-s. Trustwave'i uuringud näitasid, et BlackByte'i lunavara kasutab AES-is varastatud failide krüptimiseks sama võtit. Selle asemel, et kasutada iga seansi jaoks ainulaadset võtit, kasutab rühm sama võtit. Trustwave laadis GitHubi üles ka BlackByte'i dekrüpteerija.
FBI andmetel ilmus lunavara teine versioon novembris. Emsisofti lunavaraekspert Brett Callow ütles, et BlackByte on Ransomware-as-a-service (RaaS) operatsioon ja ohustajad, kes seda küberrünnakute läbiviimiseks kasutavad, ei pruugi tingimata asuda samas riigis.
Callow ütles, et nagu muud tüüpi lunavarad, ei krüpteeri BlackByte arvuteid, mis kasutavad Venemaa ja postsovetlike riikide keelt. Ta ütles, et see ei tähenda, et selle juhtumi taga on ründajad Venemaal. " Igaüks saab pahavara kasutada rünnakute käivitamiseks ," ütleb Callow.
Lunavararühmad on viimastel kuudel kõrgetasemeliste sihtmärkidega laastanud. Mõned selle kuu kõrgetasemelised juhtumid hõlmavad Vodafone Portugali rünnakut ja küberrünnakut Belgia ja Hollandi sadamatele.