Ransomware : BlackByte revient en copiant LockBit 3.0

La franchise BlackByte n’avait pas revendiqué de victime depuis plus d’un mois. L’oubli est réparé depuis quelques jours. Une première victime vient d’être épinglée à une nouvelle vitrine de ce qui est présenté comme BlackByte 2.0. L’utilisation d’un numéro de version rappelle LockBit, qui a officiellement passé la troisième fin juin. Et ce n’est pas le seul emprunt.

Le nouveau site vitrine de BlackByte semble parti pour reprendre une approche apparue avec LockBit 3.0 : des fonctionnalités – optionnelles chez LockBit – qui offrent des opportunités additionnelles de monétisation des attaques aux cybercriminels.

Ces derniers peuvent ainsi proposer à leurs victimes de payer un montant réduit pour récupérer l’intégralité des données volées, les faire détruire, ou encore gagner un délai supplémentaire avant divulgation.

Ces options peuvent être alléchantes pour les victimes et leur permettre de gagner du temps dans la gestion de la crise à laquelle elles sont confrontées. Pour les attaquants, elles sont autant d’assurances additionnelles d’être payés, ne serait-ce qu’un peu, si la victime refuse de céder pleinement à l’extorsion.

A ce stade, ces options ne sont pas fonctionnelles : aucune adresse Bitcoin ou Monero n’est effectivement fournie à quoi voudrait procéder à un paiement. Le nouveau site vitrine de BlackByte ne semble pas embarquer, pour le moment, de capacité de divulgation des négociations, contrairement à celui de LockBit 3.0.

La franchise BlackByte est initialement apparue en juillet 2021 et n’a pas manqué d’être bien active. Selon AdvIntel, cette franchise fait partie des faux-nez de feu Conti.