BlackByte Ransomware Group hyökkäsi San Francisco 49ersin kimppuun ennen Super Bowlia
San Francisco 49ers vahvistaa, että heitä vastaan on hyökätty tunteja ennen Super Bowlin alkua. BlackByte ransomware -jengi ottaa vastuun.
Virallisessa lausunnossa tiimi sanoi, "se sai äskettäin tietoonsa verkon tietoturvahäiriöstä", joka aiheutti häiriön heidän yritysverkossaan. Ryhmä varasti ryhmän talousasiakirjat.
San Francisco 49ersin tiedottaja sanoi, että kyberhyökkäyksestä saatuaan tiedon kolmannen osapuolen kyberturvallisuusyritykset osallistuivat hyökkäyksen hillitsemiseen, ja myös lainvalvontaviranomaisia on informoitu.
"Tutkinnan aikana uskomme tapauksen rajoittuvan yrityksen IT-verkkoomme, mutta toistaiseksi meillä ei ole viitteitä siitä, että tämä tapaus koskisi yritysverkostomme ulkopuolisia järjestelmiä, kuten lipunhaltijoiden Levi's Stadiumin toimintaan liittyviä järjestelmiä. Tutkinnan jatkuessa työskentelemme ahkerasti palauttaaksemme mukana olevat järjestelmät mahdollisimman nopeasti ja turvallisesti, San Francisco 49ersin tiedottaja sanoi.
Tapahtuman jälkeen San Francisco 49ers ilmestyi myös BlackByte ransomware -jengin sivustolle sunnuntaina. Ryhmä julkaisi joitain ryhmän varastettuja asiakirjoja pimeässä verkossa tiedostossa nimeltä "2020 Invoices". Ransomware-jengi ei ole vaatinut kiristysohjelmia eikä ole tarkentanut, kuinka paljon tietoja on varastettu.
San Francisco 49ers ilmestyi BlackByten viralliselle vuotosivustolle. (Kuva: ZDNet)
Hyökkäys San Francisco 49ersiä vastaan tapahtui päivä sen jälkeen, kun FBI varoitti BlackByte ransomware -jengistä. FBI:n varoituksen mukaan:
"Marraskuuhun 2021 mennessä BlackByte ransomware oli vaarantanut useita yhdysvaltalaisia ja ulkomaisia yrityksiä, mukaan lukien yhtiöt ainakin kolmella Yhdysvaltain kriittisen infrastruktuurin sektorilla (hallituksen laitokset, rahoitus sekä ruoka ja maatalous). BlackByte on Ransomware as a Service (RaaS) -ryhmä, joka salaa tiedostot vaarantuneissa Windows-isäntäjärjestelmissä, mukaan lukien fyysiset ja virtuaaliset palvelimet.
FBI:n raportin mukaan uhkatoimijat käyttävät Microsoft Exchangen haavoittuvuuksia päästäkseen verkkoihin. Kun heillä on pääsy verkkoon, hakkerit voivat käyttää erilaisia työkaluja liikkuakseen verkon yli " lisätäkseen oikeuksia ennen tiedostojen salaamista ". Joissakin tapauksissa BlackByte lunnasohjelmaryhmällä on vain osittain salattuja tiedostoja.
Red Canaryn raportti osoitti, että BlackByte-lunnasohjelma pääsi verkkoon hyödyntämällä asiakkaan Microsoft Exchange -palvelimen ProxyShell-haavoittuvuuksia. Näitä haavoittuvuuksia ovat CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.
BlackByte ransomware -ryhmä syntyi viime vuonna korkean profiilin kohteilla kaikkialla Yhdysvalloissa. Trustwaven tutkimus osoitti, että BlackByte-lunnasohjelma käyttää samaa avainta varastettujen tiedostojen salaamiseen AES:ssä. Ainutlaatuisen avaimen käyttämisen sijaan jokaisessa istunnossa ryhmä käyttää samaa avainta. Trustwave latasi myös BlackByte-salauksenpurkuohjelman GitHubiin.
FBI:n mukaan ransomwaren toinen versio julkaistiin marraskuussa. Brett Callow, Emsisoft ransomware -asiantuntija, sanoi, että BlackByte on Ransomware-as-a-service (RaaS) -toiminto, ja sitä kyberhyökkäyksiä käyttävät uhkatoimijat eivät välttämättä ole samassa maassa.
Callow sanoi, että kuten muutkin kiristysohjelmat, " BlackByte ei salaa tietokoneita, jotka käyttävät Venäjän ja Neuvostoliiton jälkeisten maiden kieltä ." Hän sanoi, että se ei tarkoita, että tämän tapauksen takana olevat hyökkääjät olisivat Venäjällä. " Kuka tahansa voi käyttää haittaohjelmia hyökkäysten käynnistämiseen ", Callow sanoo.
Ransomware-ryhmät ovat aiheuttaneet tuhoa viime kuukausina korkean profiilin kohteilla. Joitakin korkean profiilin tapauksia tässä kuussa ovat Vodafone Portugalin hyökkäys ja kyberhyökkäys Belgian ja Hollannin satamiin.