ジャカルタ - ランサムウェアギャングBlackByteは、少なくとも3つの重要な米国のインフラセクターを標的にした後に生まれ変わるようです。したがって、この1つのギャングを過小評価することはできません。
BlackByteは、ランサムウェアインフラストラクチャを他の人に貸し出すランサムウェア・アズ・サービス(RaaS)操作です。
このギャングは2021年7月、世界中の企業の被害者を標的にソフトウェアの脆弱性を悪用し始めた。
FBIとシークレットサービス(USSS)のサイバーセキュリティアドバイザーは、政府施設、金融サービス、食料、農業などの重要な米国のインフラに対する少なくとも3回の攻撃を含む多くの米国および外国企業を危険にさらしていると警告した。.
FBIとシークレットサービスの報告によると、BlackByteは米国(米国)、ヨーロッパ、オーストラリアの製造業、ヘルスケア、建設業界への攻撃など、いくつかの初期の成功を収めました。
数ヶ月後、サイバーセキュリティ企業Trustwaveが、BlackByteの被害者がランサムウェアギャングが盗んだファイルを無料で回復できる復号化ツールをリリースしたとき、ギャングは大変な時期を過ごしました。
一部の人々は、ランサムウェアはアマチュアの仕事であると信じています, ランサムウェアは、ダウンロードし、AESでファイルを暗号化するために同じキーを実行します, 各セッションのための一意のキーではありません.この挫折にもかかわらず、BlackByteの操作は復讐に戻っているようです
TechCrunchが報告したように、2月15日(火曜日)、現在、両機関のサイバーアドバイザーは、組織がBlackByte攻撃を検出して防御するために使用できる妥協指標(IDC)を提供することに焦点を当てています。
BlackByte アクティビティに関連する IOC には、侵害された Microsoft インターネット インフォメーション サービス (IIS) サーバーで検出された疑わしい ASPX ファイルの MD5 のハッシュと、ランサムウェア オペレーターが攻撃中に使用するコマンドの一覧が含まれます。
FBIとUSSSの両方が以下のBlackByte攻撃を避けるためのいくつかのヒントを共有しています:
パスワードで保護されたオフライン コピーとして保存するすべてのデータの定期的なバックアップを実装します。元のデータが存在するシステムから、このコピーにアクセスして変更または削除できないようにしてください。ネットワーク上のすべてのマシンが他のすべてのマシンからアクセスできないように、ネットワークセグメンテーションを実装します。すべてのホストにウイルス対策ソフトウェアを定期的にインストールして更新し、リアルタイム検出を有効にします。オペレーティング システム、ソフトウェア、ファームウェアの更新プログラムまたはパッチをリリース後すぐにインストールします。ドメイン コントローラ、サーバー、ワークステーション、および Active Directory で新しいユーザー アカウントまたは不明なユーザー アカウントを確認します。管理者特権を持つユーザー アカウントを監査し、最小限の特権を考慮してアクセス制御を構成します。すべてのユーザーに管理者権限を付与しないでください。使用されていないリモート アクセス ポートまたはリモート デスクトップ プロトコル (RDP) を無効にし、異常な動作についてリモート アクセスログまたは RDP ログを監視します。組織外から受信した電子メールに電子メール バナーを追加することを検討してください。受信したメールのハイパーリンクを無効にします。アカウントまたはサービスにログインする場合は、二重認証を使用します。すべてのアカウントに対して定期的な監査を実行します。モニタリングとアラートを継続するために、識別されたすべてのIoCがSIEMネットワークに入力されていることを確認します。The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
