美国联邦调查局 (FBI) 与美国特勤局发布了一份联合网络安全咨询公告,该公告透露,BlackByte 勒索软件组织在过去3个月中入侵了至少3 个美国关键基础设施组织。
而在上周,BlackByte攻击了美国国家橄榄球联盟(NFL)旧金山49人队(49ers),从其组织系统上窃取了数据。
BlackByte 勒索软件操作自 2021 年 9 月以来一直活跃,这是一个RaaS组,能够加密受感染的 Windows 主机系统上的文件,包括物理和虚拟服务器。2021 年 10 月,来自 Trustwave 的 SpiderLabs 的研究人员 发布了一个解密器 ,可以让 BlackByte 勒索软件早期版本的受害者免费恢复他们的文件。
政府专家报告说,该团伙利用已知的 Microsoft Exchange Server 漏洞来访问受害者网络,一旦获得对网络的访问权限,攻击者就会部署工具来执行横向移动并提升权限,然后再窃取和加密文件。
该公告除了陈述BlackByte的攻击动向,重点是提供了可以用来检测和防御BlackByte攻击的破坏指标(IOC)。公告中分享的与BlackByte活动相关的IOC,包括了在被攻击的微软互联网信息服务(IIS)服务器上发现的可疑ASPX文件的MD5哈希值,以及勒索软件运营商在攻击中使用的命令列表。
该公告还提供了针对BlackByte的预防措施:
- 对所有数据进行定期备份,确保无法从原始数据所在的任何系统访问这些副本以进行修改或删除。
- 实施网络分段,使网络上的所有机器都不能从其他机器访问。
- 在所有主机上安装并定期更新杀毒软件,并启用实时检测。
- 更新/补丁发布后立即安装更新/补丁操作系统、软件和固件。
- 查看域控制器、服务器、工作站和活动目录中是否有新的或无法识别的用户帐户。
- 审核具有管理权限的用户帐户,并以最低权限配置访问控制。不要授予所有用户管理权限。
- 禁用未使用的远程访问/远程桌面协议 (RDP) 端口并监控远程访问/RDP 日志以发现任何异常活动。
- 考虑为从组织外部收到的电子邮件添加电子邮件横幅。
- 禁用收到的电子邮件中的超链接。
- 登录帐户或服务时使用双重身份验证。
- 确保对所有账户进行例行审计。
- 确保将所有已识别的 IOC 输入到网络 SIEM 中以进行持续监控和警报。
参考来源:https://www.bleepingcomputer.com/news/security/fbi-blackbyte-ransomware-breached-us-critical-infrastructure/