雅加达 - 勒索软件团伙BlackByte在针对至少三个关键的美国基础设施部门后似乎重生了。因此,这一个帮派不容小觑。
BlackByte是一种勒索软件即服务(RaaS)操作,将其勒索软件基础架构出租给他人以换取赎金。
该团伙于2021年7月出现,当时它开始利用软件漏洞来针对世界各地的企业受害者。
在发布的警告中,联邦调查局和特勤局(USSS)网络安全顾问警告说,勒索软件团伙已经危及许多美国和外国企业,包括至少三次对美国关键基础设施的攻击,如政府设施,金融服务,食品和农业。.
根据联邦调查局和特勤局的报告,BlackByte取得了一些早期的成功,例如对美国,欧洲和澳大利亚的制造业,医疗保健和建筑业的攻击。
几个月后,当网络安全公司Trustwave发布解密工具时,该团伙度过了一段艰难的时期,该工具允许BlackByte受害者免费恢复勒索软件团伙窃取的文件。
有些人认为勒索软件是业余爱好者的工作,勒索软件下载并执行相同的密钥来加密AES中的文件,而不是每个会话的唯一密钥。尽管遭遇了挫折,但BlackByte的运营似乎带着复仇回来了。
正如TechCrunch在2月15日星期二报道的那样,现在来自两个机构的网络顾问都专注于提供入侵指标(IOC),组织可以使用这些指标来检测和防御BlackByte攻击。
与 BlackByte 活动相关的 IOC 包括在受感染的 Microsoft Internet Information Services (IIS) 服务器上发现的可疑 ASPX 文件的 MD5 哈希值,以及勒索软件操作员在攻击期间使用的命令列表。
联邦调查局和USSS都分享了一些避免BlackByte攻击的技巧:
定期备份所有数据以另存为受密码保护的脱机副本。确保无法访问此副本以进行修改或删除原始数据所在的任何系统。实施网络分段,以便网络上的所有计算机都无法从其他所有计算机访问。在所有主机上定期安装和更新防病毒软件,并启用实时检测。在操作系统、软件和固件更新或修补程序发布后立即安装它们。查看域控制器、服务器、工作站和 Active Directory 中是否有新的或未知的用户帐户。使用管理权限审核用户帐户,并在配置访问控制时考虑最低权限。不要授予所有用户的管理权限。禁用未使用的远程访问端口或远程桌面协议 (RDP),并监视远程访问或 RDP 日志中的异常活动。请考虑向从组织外部接收的电子邮件添加电子邮件横幅。禁用收到的电子邮件中的超链接。登录帐户或服务时使用双重身份验证。确保对所有帐户执行定期审计。确保将所有已识别的 IOC 输入 SIEM 网络,以便持续监视和发出警报。The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
