Το Ομοσπονδιακό Γραφείο Ερευνών (FBI) αποκάλυψε ότι η ομάδα ransomware BlackByte έχει παραβιάσει τα δίκτυα τουλάχιστον τριών οργανισμών που ανήκουν στον κλάδο των κρίσιμων υποδομών των ΗΠΑ.
“Από τον Νοέμβριο του 2021, το BlackByte ransomware έχει θέσει σε κίνδυνο πολλές αμερικανικές και ξένες επιχειρήσεις, συμπεριλαμβανομένων οντοτήτων σε τουλάχιστον τρεις τομείς που σχετίζονται με τις κρίσιμες υποδομές των ΗΠΑ (κυβερνητικές εγκαταστάσεις, χρηματοοικονομικές εγκαταστάσεις και τρόφιμα και γεωργία)“, δήλωσε η ομοσπονδιακή υπηρεσία επιβολής του νόμου [PDF].
“Το BlackByte είναι ένα Ransomware as a Service (RaaS) group που κρυπτογραφεί αρχεία σε παραβιασμένα συστήματα Windows, συμπεριλαμβανομένων φυσικών και εικονικών servers“.
Δείτε επίσης: Η μάρκα αθλητικών Mizuno έπεσε θύμα επίθεσης ransomware
 αποκάλυψε ότι η ομάδα ransomware BlackByte έχει παραβιάσει τα δίκτυα τουλάχιστον τριών οργανισμών){kind=link}
Το FBI αναφέρει κάποιους δείκτες παραβίασης (IOC) που μπορούν να χρησιμοποιήσουν οι οργανισμοί για να εντοπίσουν πιθανές μολύνσεις και να αμυνθούν έναντι του BlackByte ransomware.
Τα IOC που σχετίζονται με τη δραστηριότητα BlackByte, περιλαμβάνουν MD5 hashes ύποπτων αρχείων ASPX που ανακαλύφθηκαν σε παραβιασμένα Microsoft Internet Information Services (IIS) servers και μια λίστα εντολών που χρησιμοποιούσαν οι χειριστές ransomware κατά τις επιθέσεις.
Επίθεση στην ομάδα San Francisco 49ers
Η ομάδα San Francisco 49ers αποκάλυψε το Σαββατοκύριακο ότι προσπαθεί να επανέλθει από μια επίθεση από το ransomware BlackByte.
Οι hackers ανέλαβαν την ευθύνη της επίθεσης, λέγοντας ότι έκλεψαν επίσης δεδομένα από τους διακομιστές της αθλητικής οργάνωσης και διέρρευσαν αρχεία μεγέθους 300 MB.
Η ομάδα επιβεβαίωσε τη ransomware επίθεση και είπε ότι προκάλεσε μόνο μια προσωρινή διακοπή σε τμήματα του IT δικτύου της.
Δείτε επίσης: BlackCat: Ανέλαβε την ευθύνη για την ransomware επίθεση στην Swissport
Το ransomware BlackByte χρησιμοποιείται τουλάχιστον από τον Ιούλιο του 2021, όταν άρχισε να στοχεύει εταιρικά θύματα σε όλο τον κόσμο.
Αυτή η συμμορία συνηθίζει να εκμεταλλεύεται ευπάθειες λογισμικού για την αρχική πρόσβαση στο δίκτυο των στόχων. Αυτό σημαίνει ότι η ενημέρωση των servers πιθανότατα θα αποκλείσει τις επιθέσεις των hackers.
Τον Οκτώβριο, η εταιρεία κυβερνοασφάλειας Trustwave δημιούργησε και κυκλοφόρησε ένα δωρεάν εργαλείο αποκρυπτογράφησης για το BlackByte ransomware.
Δείτε επίσης: Lockbit ransomware: Το FBI δίνει λεπτομέρειες για την επιχείρηση και συμβουλές προστασίας
Το FBI πρότεινε και μερικά μέτρα που μπορούν να λάβουν οι οργανισμοί για να προστατευτούν από το BlackByte ransomware:
- Δημιουργία αντιγράφων ασφαλείας για όλα τα δεδομένα offline. Βεβαιωθείτε ότι αυτά τα αντίγραφα δεν είναι προσβάσιμα για τροποποίηση ή διαγραφή από συστήματα στα οποία βρίσκονται τα πρωτότυπα δεδομένα.
- Τμηματοποίηση δικτύου, έτσι ώστε όλα τα μηχανήματα στο δίκτυo να μην είναι προσβάσιμα από οποιοδήποτε άλλο μηχάνημα.
- Εγκατάσταση και ενημέρωση λογισμικού προστασίας από ιούς σε όλους τους κεντρικούς υπολογιστές και ενεργοποίηση εντοπισμού απειλών σε πραγματικό χρόνο.
- Τακτική ενημέρωση όλων των συστημάτων, software, firmware.
- Έλεγχος των domain controllers, servers, workstations και των active directories για εντοπισμό νέων ή άγνωστων user accounts.
- Έλεγχος λογαριασμών χρηστών με δικαιώματα διαχειριστή. Μην δίνετε σε όλους τους χρήστες δικαιώματα διαχειριστή.
- Απενεργοποίηση των remote access/Remote Desktop Protocol (RDP) ports και παρακολούθηση των remote access/RDP logs για οποιαδήποτε ασυνήθιστη δραστηριότητα.
- Εξετάστε το ενδεχόμενο να προσθέσετε ένα email banner σε μηνύματα ηλεκτρονικού ταχυδρομείου που λαμβάνονται από άτομα εκτός του οργανισμού σας.
- Απενεργοποίηση των υπερσυνδέσμων στα ληφθέντα email.
- Χρήση ελέγχου ταυτότητας.
Πηγή: Bleeping Computer