San Francisco 49ers bekräftar att de har blivit attackerade timmar innan Super Bowl drar igång. BlackByte ransomware-gäng tar på sig ansvaret.
I ett officiellt uttalande sa teamet "det blev nyligen medvetet om en nätverkssäkerhetsincident" som orsakade en störning i deras företagsnätverk. Gruppen stal lagets finansiella dokument.
San Francisco 49ers talesman sa att efter att ha fått reda på cyberattacken var tredjeparts cybersäkerhetsföretag inblandade för att stoppa attacken, och de brottsbekämpande myndigheterna har också informerats.
"Medan utredningen pågår tror vi att incidenten är begränsad till vårt företags IT-nätverk, hittills har vi inga indikationer på att denna incident involverar system utanför vårt företagsnätverk, till exempel de som är kopplade till Levis Stadiums verksamhet för biljettinnehavare. Medan utredningen fortsätter arbetar vi hårt för att återställa inblandade system så snabbt och säkert som möjligt, säger San Francisco 49ers talesman.
Efter incidenten dök även San Francisco 49ers upp på BlackByte ransomware-gängets sajt i söndags. Gruppen lade upp några stulna dokument från teamet på den mörka webben i en fil med namnet "2020 Invoices". Ransomware-gänget har inte ställt något krav på ransomware och har inte specificerat hur mycket data som har stulits.
San Francisco 49ers dök upp på BlackBytes officiella läckagesida. (Bild: ZDNet)
Attacken mot San Francisco 49ers kom en dag efter FBI:s varning angående BlackByte ransomware-gänget. Enligt FBI:s varning:
"Från och med november 2021 hade BlackByte ransomware äventyrat flera amerikanska och utländska företag, inklusive enheter i minst tre amerikanska kritiska infrastruktursektorer (statliga anläggningar, finans och livsmedel och jordbruk). BlackByte är en Ransomware as a Service-grupp (RaaS) som krypterar filer på komprometterade Windows-värdsystem, inklusive fysiska och virtuella servrar."
Enligt FBI:s rapport använder hotaktörerna Microsoft Exchange-sårbarheter för att komma åt nätverk. När de väl har tillgång till nätverket kan hackare använda olika verktyg för att flytta över nätverket för att " eskalera privilegier innan de krypterar filer ." I några få incidenter har BlackByte ransomware-gruppen endast delvis krypterade filer.
En rapport från Red Canary visade att BlackByte ransomware fick tillgång till nätverket genom att utnyttja ProxyShell-sårbarheterna på en kunds Microsoft Exchange-server. Dessa sårbarheter inkluderar CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.
BlackByte ransomware-gruppen uppstod förra året med högprofilerade mål över hela USA. Forskning av Trustwave visade att BlackByte ransomware använder samma nyckel för att kryptera stulna filer i AES. Istället för att använda en unik nyckel för varje session, använder gruppen samma nyckel. Trustwave laddade också upp en BlackByte-dekryptering på GitHub.
Enligt FBI släpptes den andra versionen av ransomware i november. Brett Callow, Emsisofts ransomware-expert, sa att BlackByte är en Ransomware-as-a-service-operation (RaaS) och att de hotaktörer som använder den för att utföra cyberattacker inte nödvändigtvis är i samma land.
Callow sa att precis som andra typer av ransomware, " krypterar BlackByte inte datorer som använder språket i Ryssland och postsovjetiska länder ." Han sa att det inte betyder att angriparna bakom denna incident befinner sig i Ryssland. " Vem som helst kan använda skadlig programvara för att starta attacker ", säger Callow.
Ransomware-grupper har orsakat kaos under de senaste månaderna med högprofilerade mål. Några högprofilerade fall denna månad inkluderar Vodafone Portugal-attacken och cyberattacken mot belgiska och holländska hamnar.