Bagikan:

JAKARTA - Geng ransomware, BlackByte seperti terlahir kembali setelah menargetkan setidaknya tiga sektor infrastruktur penting AS. Karenanya, geng yang satu ini tak bisa dianggap remeh.

BlackByte adalah operasi ransomware-as-a-service (RaaS) yang menyewakan infrastruktur ransomware-nya kepada orang lain dengan imbalan dari hasil tebusan.

Geng ini muncul pada Juli 2021 ketika mulai mengeksploitasi kerentanan perangkat lunak untuk menargetkan korban perusahaan di seluruh dunia.

Dalam peringatan yang diunggah, penasihat keamanan siber FBI dan Dinas Rahasia (USSS) memperingatkan bahwa geng ransomware telah membahayakan banyak bisnis Amerika Serikat (AS) dan asing, termasuk setidaknya tiga serangan terhadap infrastruktur penting AS, seperti fasilitas pemerintah, layanan keuangan, makanan dan pertanian.

Menurut laporan dari FBI dan Secret Service, BlackByte memiliki beberapa keberhasilan awal, seperti serangan terhadap industri manufaktur, perawatan kesehatan, dan konstruksi di Amerika Serikat (AS), Eropa, dan Australia.

Setelah beberapa bulan, geng tersebut mengalami masa sulit ketika perusahaan keamanan siber Trustwave merilis alat dekripsi yang memungkinkan korban BlackByte untuk memulihkan file secara gratis yang dirampas geng ransomware itu.

Beberapa orang percaya bahwa ransomware adalah karya amatir, ransomware mengunduh dan mengeksekusi kunci yang sama untuk mengenkripsi file di AES, bukan kunci unik untuk setiap sesi. Terlepas dari kemunduran ini, tampaknya operasi BlackByte kembali dengan sepenuh hati

Seperti diwartakan TechCrunch, Selasa, 15 Februari, kini penasihat siber dari kedua badan tersebut berfokus pada penyediaan indikator kompromi (IOCs) yang dapat digunakan organisasi untuk mendeteksi dan mempertahankan diri dari serangan BlackByte.

IOC yang terkait dengan aktivitas BlackByte termasuk hash MD5 dari file ASPX mencurigakan yang ditemukan di server Microsoft Internet Information Services (IIS) yang disusupi dan daftar perintah yang digunakan operator ransomware selama serangan.

Baik FBI dan USSS membagikan sedikit tips untuk menghindari serangan BlackByte di bawah ini:

  1. Terapkan pencadangan rutin semua data untuk disimpan sebagai salinan offline yang dilindungi kata sandi. Pastikan salinan ini tidak dapat diakses untuk dimodifikasi atau dihapus dari sistem mana pun tempat data asli berada.
  2. Terapkan segmentasi jaringan, sehingga semua mesin di jaringan Anda tidak dapat diakses dari setiap mesin lainnya.
  3. Instal dan perbarui perangkat lunak antivirus secara teratur di semua host, dan aktifkan deteksi waktu nyata.
  4. Instal pembaruan atau tambalan sistem operasi, perangkat lunak, dan firmware segera setelah pembaruan atau tambalan dirilis.
  5. Tinjau pengontrol domain, server, stasiun kerja, dan direktori aktif untuk akun pengguna baru atau yang tidak dikenal.
  6. Audit akun pengguna dengan hak istimewa administratif dan konfigurasikan kontrol akses dengan mempertimbangkan hak istimewa paling sedikit. Jangan berikan semua pengguna hak administratif.
  7. Nonaktifkan port akses jarak jauh atau Protokol Desktop Jarak Jauh (RDP) yang tidak digunakan dan pantau akses jarak jauh atau log RDP untuk aktivitas yang tidak biasa.
  8. Pertimbangkan untuk menambahkan spanduk e-mail ke e-mail yang diterima dari luar organisasi Anda.
  9. Nonaktifkan hyperlink di email yang diterima. Gunakan otentikasi ganda saat masuk ke akun atau layanan.
  10. Pastikan audit rutin dilakukan untuk semua akun.
  11. Pastikan semua IOC yang teridentifikasi dimasukkan ke dalam jaringan SIEM untuk pemantauan dan peringatan berkelanjutan.