美国中情局 (FBI) 与美国中国国安部公布了一份协同网络安全性资询公告,该公告表露,BlackByte 勒索软件机构在过去的3个月中侵入了最少3 个美国重要基础设施建设机构。
而在上星期,BlackByte攻击了美国我国篮球同盟(NFL)美国旧金山49人组(49ers),从其组织结构上盗取了数据信息。
BlackByte 勒索软件实际操作自 2021 年 9 月至今一直活跃性,这是一个RaaS组,可以数据加密受传染的 Windows 软件系统上的文档,包含物理学和虚拟服务器。2021 年 10 月,来源于 Trustwave 的 SpiderLabs 的分析工作人员 公布了一个解密器 ,可以让 BlackByte 勒索软件初期版本升级的受害人免费恢复她们的文档。
政府部门权威专家汇报说,该犯罪团伙运用已经知道的 Microsoft Exchange Server 系统漏洞来浏览受害人网络,一旦得到对网络的访问限制,攻击者便会部署工具来实行横着挪动并提高管理权限,随后再盗取和加密文件。
该公告除开阐述BlackByte的攻击趋势,关键是保证了可以用于检验和防御力BlackByte攻击的毁坏指标值(IOC)。公告中共享的与BlackByte主题活动有关的IOC,包含了在被攻击的微软公司互联网信息服务项目(IIS)网络服务器上发觉的异常ASPX文档的MD5哈希值,及其勒索软件营运商在攻击中采用的指令目录。
该公告还带来了对于BlackByte的防范措施:
- 对全部数据信息开展按时备份数据,保证没法从原始记录所属的一切系统软件浏览这种团本以开展调整或删掉。
- 执行网络按段,使网络上的全部设备都不可以从别的设备浏览。
- 在所有主手机上下载并按时升级电脑杀毒软件,并开启即时检验。
- 升级/补丁包公布后立即安装升级/补丁包电脑操作系统、手机软件和固定件。
- 查询域控制器、网络服务器、工作平台和活动目录中能否有新的或无法识别的客户账号。
- 审批具备管理员权限的客户账号,并以最少管理权限配备密钥管理。不必授于全部客户管理员权限。
- 禁止使用未采用的远程连接/远程桌面连接协议书 (RDP) 端口号并监管远程连接/RDP 日志以发觉一切出现异常主题活动。
- 考虑到为从机构外界接到的电子邮件加上电子邮件条幅。
- 禁止使用接到的电子邮件中的超链。
- 登陆账号或业务时应用多重身份认证。
- 保证对全部帐户开展常规财务审计。
- 保证将全部已鉴别的 IOC 键入到网络 SIEM 中以开展不断监测和报警。
参照来源于:https://www.bleepingcomputer.com/news/security/fbi-blackbyte-ransomware-breached-us-critical-infrastructure/