Blackyte是一家勒索软件即服务(RaaS)公司,将其勒索软件基础设施出租给他人,以换取一定比例的勒索收益。这伙人在2021年7月开始开发软件漏洞,瞄准全球范围内的企业受害者。虽然Blackyte取得了一些初步成功——安全研究人员追踪了针对美国制造业、医疗保健业和建筑业的攻击。,欧洲和澳大利亚——几个月后,网络安全公司Trustwave发布了一个免费解密工具,允许Blackyte受害者免费恢复他们的文件,这帮人遭遇了一场灾难。该组织过于简单的加密技术让一些人相信勒索软件是业余爱好者的作品;勒索软件下载并执行相同的密钥来加密AES中的文件,而不是每个会话的唯一密钥。
尽管遭遇了这一挫折,但似乎BlackByte的行动已经卷土重来。在周五发布的警报中,联邦调查局和特勤局(USSS)警告称,勒索软件团伙危害了多家美国和外国企业,包括“至少”三次针对美国关键基础设施的攻击,尤其是政府设施、金融服务以及食品和农业领域。
该咨询提供了妥协的指标,以帮助网络捍卫者识别黑字节入侵,只是在勒索软件集团声称已经加密属于旧金山49 ER的网络之前几天发布的。在超级碗的前一天,BlackByte泄露了一些声称被盗的文件,从而披露了这次攻击。
Emsisoft的勒索软件专家兼威胁分析师布雷特·卡洛(Brett Callow)告诉TechCrunch,虽然BlackByte不是最活跃的RaaS行动,但在过去几个月里,它一直在稳步增加受害者。然而,他补充说,由于美国政府最近对勒索软件行为者采取了行动,该团伙可能会采取谨慎的做法。
“FBI和USSS顾问表示,Blackyte已被部署在至少三个美国关键基础设施部门,包括政府部门。有趣的是,该团伙的泄密网站上没有列出此类组织,这可能表明这些组织支付了费用,没有数据被过滤,或者Blackyte选择不发布他说:“对过滤出来的数据进行过滤。”最后的选择并非不可能:自从REvil成员被捕以来,这些团伙似乎对公布数据变得更加谨慎,尤其是在美国组织的情况下。"
卡洛说,虽然所有迹象都表明Blackyte总部位于俄罗斯,但因为像REvil这样的勒索软件的编码不是为了加密使用俄语或独联体语言的系统的数据,这“不应被视为是由总部位于俄罗斯或独联体的个人实施的攻击”
他补充说:“附属机构可能与管理RAA的个人不在同一个县。”。“他们可以驻扎在任何地方——包括美国。”