BlackByte Ransomware Group zaatakowało San Francisco 49ers przed Super Bowl
San Francisco 49ers potwierdzają, że zostali zaatakowani na kilka godzin przed rozpoczęciem Super Bowl. Odpowiedzialność ponosi gang BlackByte ransomware.
W oficjalnym oświadczeniu zespół powiedział: „niedawno dowiedział się o incydencie związanym z bezpieczeństwem sieci", który spowodował zakłócenia w ich sieci korporacyjnej. Grupa ukradła dokumenty finansowe zespołu.
Rzecznik San Francisco 49ers powiedział, że gdy dowiedział się o cyberataku, w powstrzymanie ataku zaangażowane były zewnętrzne firmy zajmujące się cyberbezpieczeństwem, a organy ścigania również zostały poinformowane.
„Podczas gdy śledztwo jest w toku, uważamy, że incydent ogranicza się do naszej firmowej sieci informatycznej, do tej pory nie mamy żadnych wskazówek, aby ten incydent dotyczył systemów spoza naszej sieci firmowej, takich jak te, które są połączone z operacjami posiadaczy biletów na stadionie Levi's. W miarę postępu śledztwa pilnie pracujemy nad przywróceniem zaangażowanych systemów tak szybko i bezpiecznie, jak to możliwe” – powiedział rzecznik San Francisco 49ers.
Po incydencie 49ers z San Francisco pojawił się również w niedzielę na stronie gangu BlackByte ransomware. Grupa opublikowała kilka skradzionych dokumentów zespołu w ciemnej sieci w pliku o nazwie „Faktury 2020″. Gang oprogramowania ransomware nie zażądał żadnego oprogramowania ransomware i nie określił, ile danych zostało skradzionych.
San Francisco 49ers pojawiło się na oficjalnej stronie internetowej BlackByte'a. (Zdjęcie: ZDNet)
Atak na 49ers z San Francisco nastąpił dzień po ostrzeżeniu FBI dotyczącym gangu BlackByte ransomware. Zgodnie z ostrzeżeniem FBI:
„Od listopada 2021 r. oprogramowanie ransomware BlackByte naraziło na szwank wiele firm amerykańskich i zagranicznych, w tym podmioty w co najmniej trzech sektorach infrastruktury krytycznej USA (obiekty rządowe, finanse oraz żywność i rolnictwo). BlackByte to grupa Ransomware as a Service (RaaS), która szyfruje pliki na zaatakowanych systemach hosta Windows, w tym na serwerach fizycznych i wirtualnych”.
Według raportu FBI, cyberprzestępcy wykorzystują luki w Microsoft Exchange, aby uzyskać dostęp do sieci. Po uzyskaniu dostępu do sieci hakerzy mogą wdrażać różne narzędzia do poruszania się po sieci w celu „ podniesienia uprawnień przed zaszyfrowaniem plików “. W kilku przypadkach grupa BlackByte ransomware miała tylko częściowo zaszyfrowane pliki.
Raport firmy Red Canary wykazał, że oprogramowanie ransomware BlackByte uzyskało dostęp do sieci poprzez wykorzystanie luk ProxyShell na serwerze Microsoft Exchange klienta. Te luki obejmują CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.
Grupa BlackByte ransomware pojawiła się w zeszłym roku z głośnymi celami w całych Stanach Zjednoczonych. Badania przeprowadzone przez Trustwave wykazały, że ransomware BlackByte używa tego samego klucza do szyfrowania skradzionych plików w AES. Zamiast używać unikalnego klucza dla każdej sesji, grupa używa tego samego klucza. Trustwave przesłał także deszyfrator BlackByte na GitHub.
Według FBI druga wersja oprogramowania ransomware została wydana w listopadzie. Brett Callow, ekspert ds. ransomware firmy Emsisoft, powiedział, że BlackByte to operacja typu Ransomware jako usługa (RaaS), a cyberprzestępcy, którzy wykorzystują go do przeprowadzania cyberataków, niekoniecznie muszą znajdować się w tym samym kraju.
Callow powiedział, że podobnie jak inne rodzaje oprogramowania ransomware, „ BlackByte nie szyfruje komputerów, które używają języka Rosji i krajów postsowieckich “. Powiedział, że nie oznacza to, że napastnicy stojący za tym incydentem znajdują się w Rosji. „ Każdy może użyć tego złośliwego oprogramowania do przeprowadzania ataków ” — mówi Callow.
Grupy ransomware siały spustoszenie w ciągu ostatnich kilku miesięcy, stawiając głośne cele. Niektóre głośne przypadki w tym miesiącu obejmują atak Vodafone Portugal i cyberatak na porty belgijskie i holenderskie.