FBI:BlackByte勒索软件已经破坏了至少三个美国关键基础设施组织的美国关键基础设施。上周,BlackByte入侵了NFL的旧金山49人队,从其组织系统中窃取了数据。BlackByte勒索软件自2021年9月开始活跃,是一个RaaS组织,能够加密受感染Windows主机系统(包括物理和虚拟服务器)上的文件。2021年10月,Trustwave的SpiderLabs的研究人员发布了一个解密器,可以让早期版本的BlackByte勒索软件的受害者免费恢复他们的文件。政府专家报告说,该组织利用已知的MicrosoftExchangeServer漏洞获得对受害网络的访问权限,一旦他们获得对网络的访问权限,攻击者就会部署工具来执行横向移动并在窃取和加密文件之前提升权限。除了陈述BlackByte的攻击趋势外,该公告还重点提供了可用于检测和防御BlackByte攻击的损害指标(IOC)。公告中共享的与BlackByte活动相关的IOC包括在受感染的MicrosoftInternetInformationServices(IIS)服务器上发现的可疑ASPX文件的MD5哈希值,以及勒索软件运营商在攻击中使用的命令列表。该公告还提供了针对BlackByte的预防措施:定期备份所有数据,确保无法从原始数据所在的任何系统访问这些副本以进行修改或删除。实施网络分段,使网络上的所有机器都无法被其他机器访问。在所有主机上安装并定期更新杀毒软件,并启用实时检测。一旦更新/补丁发布,就安装更新/补丁的操作系统、软件和固件。检查域控制器、服务器、工作站和ActiveDirectory是否有新的或无法识别的用户帐户。审计具有管理权限的用户帐户并配置具有最小权限的访问控制。不要向所有用户授予管理权限。禁用未使用的远程访问/远程桌面协议(RDP)端口并监控远程访问/RDP日志以了解任何异常活动。考虑为从组织外部收到的电子邮件添加电子邮件横幅。禁用传入电子邮件中的超链接。登录帐户或服务时使用双因素身份验证。确保对所有账户进行例行审计。确保所有已识别的IOC都被馈送到网络SIEM中以进行持续监控和警报。参考来源:https://www.bleepingcomputer.com/news/security/fbi-blackbyte-ransomware-breached-us-critical-infrastructure/
