La familia de ransomware BlackByte parecía haber desaparecido del mapa, pero esta ausencia solo ha durado un breve intervalo. El grupo ha regresado y lo ha hecho con mayor virulencia.
BlackByte ha ido evolucionando en sus métodos, al igual que han hecho otras pandillas de ransomware. Últimamente habían adoptado una 'quita' para que las empresas e instituciones que habían sido hackeadas pudieran pagar un monto más bajo si lo hacían en las 24 horas posteriores al ataque. Si pasaban de ese intervalo se les pedía una cantidad superior.
Ahora BlackByte se ha reinventado y se ha 'copiado' de la estrategia que sigue el grupo LockBit en su encarnación 3.0. Lo que hacen es extorsionar a las víctimas usando una página de filtración dentro de la dark web. No obstante, han incorporado algunas opciones más 'creativas'.
Según recoge Bleeping Computer, ofrecen a las víctimas retrasar la publicación de datos durante 24 horas más por 5.000 dólares. También tienen la oportunidad de descargar los datos robados por 200.000 dólares o la 'promesa' de que serán destruídos por 300.000.
Aunque los expertos no recomiendan pagar a los cibermalos en ninguno de los casos -ya que no hay que fiarse nunca de su palabra e incluso pueden detectar que alguien es susceptible a la estafa para volver a atacar- la primera alternativa puede permitir ganar tiempo a las organizaciones.
Un mercado en rápida evolución
Los rápidos cambios en este colectivo de actores de amenazas son una muestra de cómo evoluciona el negocio, con hackers que operan de manera cada vez más creativa y agresiva.
“Es un mercado competitivo para los grupos de ransomware. LockBit es uno de los grupos de ransomware más prolíficos y activos a nivel mundial. No es sorprendente que BlackByte esté sacando una página del libro de LockBit al no solo anunciar una versión dos de su operación de ransomware, sino también al adoptar el modelo de extorsión de pago para retrasar, descargar o destruir”, comenta Nicole Hoffman, analista senior de ciberinteligencia de amenazas en Digital Shadows.
"Es posible, de manera realista, que BlackByte quiera obtener una ventaja competitiva o incluso tratando de llamar la atención de los medios en un intento de reclutar y hacer crecer sus operaciones", añade.
El analista subraya como este nuevo modelo puede suponer una forma para que los grupos de ransomware introduzcan múltiples fuentes de ingresos. "Será interesante ver si esta nueva fórmula se convierte en tendencia entre ellos o queda en una moda pasajera que no se usa demasiado", apostilla.
BlackByte hizo su aparición en 2021, usando la cadena de ataque ProxyShell para violar los servidores de Microsoft Exchange después de un ataque muy anunciado contra los San Francisco 49ers. Desde finales de año el ransomware había comprometido distintas empresas e instituciones, incluyendo entidades en al menos tres sectores de infraestructuras críticas de EE.UU.