Nyheter, Prylar, Android, Mobiler, Appnedladdningar, Android

FBI delade tips för att mildra BlackByte Ransomware-attacker

FBI och US Secret Service har släppt ett gemensamt råd idag som varnar för BlackByte ransomware-gruppen.

Om att BlackByte har äventyrat flera amerikanska företag inom kritiska sektorer, innehåller rådgivningen MD5-haschar, IOCs och tips för systemadministratörer om att upptäcka och förhindra BlackByte ransomware-attacker.

Varning för BlackByte Ransomware

BlackByte-gänget har varit aktivt sedan juli förra året och arbetar med modellen Ransomware-as-a-service. Vi har sett att de flesta av dess offer är företag och äventyras på olika sätt, inklusive exploateringen mot Microsoft Exchange-servrar.

Gängets skadliga program kan kryptera både de fysiska och virtuella systemen och har NFL:s San Francisco 49ers-lag som sitt senaste offer. Sportlaget meddelade att de drabbades av en ransomware-attack i slutet av förra veckan, vilket orsakade vissa störningar i tjänsterna.

Medan det nu återhämtar sig, BlackByte, ransomware-gruppen bakom denna incident, har läckt 300 MB värda stulen data från 49ers på sin dataläckageblogg. Eftersom det nu är ett växande problem har FBI och US Secret Service delat ett TLP: VIT denna vecka. I rådgivningen skrev de kombinerade teamen;

Rådgivningen innehåller IOC:er av BlackByte-aktivitet, MD5-hashar av misstänkta ASPX-filer som upptäckts på komprometterade Microsoft Internet Information Services-servrar och ett gäng kommandon som används av ransomware-aktören. Även nedanstående tips som systemadministratörer kan följa för att mildra BlackByte-attacker;

  • Implementera regelbundna säkerhetskopior av all data som lagras som luftgap, lösenordsskyddade kopior offline. Se till att dessa kopior inte är tillgängliga för ändring eller radering från något system där originaldata finns.
  • Implementera nätverkssegmentering så att alla maskiner i ditt nätverk inte är åtkomliga från alla andra maskiner.
  • Installera och uppdatera antivirusprogramvaran regelbundet på alla värdar och aktivera realtidsdetektering.
  • Installera uppdateringar/patchar för operativsystem, programvara och firmware så snart uppdateringar/patchar släpps.
  • Granska domänkontrollanter, servrar, arbetsstationer och aktiva kataloger för nya eller okända användarkonton.
  • Granska användarkonton med administrativa behörigheter och konfigurera åtkomstkontroller med minsta behörighet i åtanke. Ge inte alla användare administrativa rättigheter.
  • Inaktivera oanvända fjärråtkomst/RDP-portar (Remote Desktop Protocol) och övervaka fjärråtkomst/RDP-loggar för ovanlig aktivitet.
  • Överväg att lägga till en e-postbanner till e-postmeddelanden som tas emot utanför din organisation.
  • Inaktivera hyperlänkar i mottagna e-postmeddelanden.
  • Använd dubbel autentisering när du loggar in på konton eller tjänster.
  • Se till att rutinmässig revision utförs för alla konton.
  • Se till att alla identifierade IOC matas in i nätverkets SIEM för kontinuerlig övervakning och varningar.