Група BlackByte Ransomware атакувала San Francisco 49ers перед Суперкубком
«Сан-Франциско 49ерс» підтверджують, що на них напали за кілька годин до початку Суперкубку. Відповідальність бере на себе банда програм-вимагачів BlackByte.
В офіційній заяві команда заявила, що «нещодавно стало відомо про інцидент з безпекою мережі», який спричинив збій у їхній корпоративній мережі. Група викрала фінансові документи команди.
Речник San Francisco 49ers повідомив, що, дізнавшись про кібератаку, до стримування атаки були залучені сторонні фірми з кібербезпеки, і правоохоронні органи також були поінформовані.
«Поки розслідування триває, ми вважаємо, що інцидент обмежується нашою корпоративною ІТ-мережею, на сьогоднішній день у нас немає жодних ознак того, що цей інцидент стосується систем за межами нашої корпоративної мережі, наприклад тих, які пов'язані з роботою власників квитків на стадіоні Levi's. Оскільки розслідування триває, ми старанно працюємо, щоб якомога швидше та безпечно відновити залучені системи», – сказав речник San Francisco 49ers.
Після інциденту, San Francisco 49ers також з’явилися на сайті банди BlackByte у неділю. Група опублікувала деякі вкрадені документи команди в темній мережі у файлі під назвою «Рахунки-фактури 2020». Банда програм-вимагачів не вимагала програм-вимагачів і не вказувала, скільки даних було вкрадено.
San Francisco 49ers з'явилася на офіційному сайті витоку BlackByte. (Зображення: ZDNet)
Атака на «Сан-Франциско 49ers» сталася на наступний день після попередження ФБР про банду програм-вимагачів BlackByte. Згідно з попередженням ФБР:
«Станом на листопад 2021 року програмне забезпечення-вимагач BlackByte скомпрометував кілька американських та іноземних компаній, включаючи організації щонайменше у трьох критично важливих інфраструктурних секторах США (державні установи, фінанси, продукти харчування та сільське господарство). BlackByte — це група програм-вимагачів як послуга (RaaS), яка шифрує файли на зламаних хост-системах Windows, включаючи фізичні та віртуальні сервери».
Згідно зі звітом ФБР, загрози використовують уразливості Microsoft Exchange для доступу до мереж. Отримавши доступ до мережі, хакери можуть розгорнути різні інструменти для переміщення по мережі, щоб «підвищити привілеї перед шифруванням файлів ». У кількох випадках група програм-вимагачів BlackByte мала лише частково зашифровані файли.
Звіт Red Canary показав, що програма-вимагач BlackByte отримала доступ до мережі, використовуючи вразливості ProxyShell на сервері Microsoft Exchange клієнта. Ці вразливості включають CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.
У минулому році з’явилася група програм-вимагачів BlackByte, які ставилися до відомих цілей у США. Дослідження, проведене Trustwave, показало, що програма-вимагач BlackByte використовує той самий ключ для шифрування вкрадених файлів у AES. Замість використання унікального ключа для кожного сеансу група використовує той самий ключ. Trustwave також завантажив дешифратор BlackByte на GitHub.
За даними ФБР, друга версія програми-вимагача була випущена в листопаді. Бретт Келлоу, експерт з програм-вимагачів Emsisoft, сказав, що BlackByte є операцією Ransomware as-a-service (RaaS), і загрози, які використовують її для здійснення кібератак, не обов’язково можуть бути задіяні в одній країні.
Каллоу сказав, що, як і інші типи програм-вимагачів, «BlackByte не шифрує комп’ютери, які використовують мову Росії та пострадянських країн ». За його словами, це не означає, що нападники, які стоять за цим інцидентом, знаходяться в Росії. «Будь-хто може використовувати зловмисне програмне забезпечення для запуску атак », — каже Каллоу.
Протягом останніх кількох місяців групи програм-вимагачів спричинили хаос, маючи на ньому резонансні цілі. Деякі резонансні випадки цього місяця включають атаку Vodafone Portugal і кібератаку на бельгійські та голландські порти.