BlackByte 勒索軟件入侵美國政府、金融等關鍵基礎設施部門

美國聯邦調查局（FBI） 與美國特勤局發布了一份聯合網絡安全咨詢報告，該報告顯示，BlackByte 勒索軟件團伙已經入侵了至少三個來自美國關鍵基礎設施領域的部門。

這項聯合網絡安全咨詢由聯邦調查局 (FBI) 和美國特勤局 (USSS) 開發，旨在提供有關 BlackByte勒索軟件的信息。截至2021年11月，BlackByte 勒索軟件已經危害了美國和外國企業，包括至少三個美國關鍵基礎設施部門（政府設施、金融以及食品和農業）的實體。BlackByte 是一個勒索軟件即服務 (RaaS) 組，它加密受感染的 Windows 主機系統上的文件，包括物理和虛擬服務器。

BlackByte勒索軟件操作自2021年9月以來一直活躍，2021年10月，來自Trustwave的 SpiderLabs的研究人員發布了一個解密器 ，可以讓BlackByte勒索軟件早期版本的受害者免費恢復他們的文件。

政府專家報告說，該團伙利用已知的 Microsoft Exchange Server 漏洞來訪問某些受害者的網絡，一旦獲得對網絡的訪問權限，威脅參與者就會部署工具來執行橫向移動并提升權限，然后再竊取和加密文件。

該公告包括 BlackByte 勒索軟件操作的危害指標 (IOC)，可以讓防御者檢測到威脅。該報告包括在受感染的 Microsoft Internet 信息服務 (IIS) 服務器上發現的可疑 ASPX 文件的 MD5 哈希值，以及研究人員觀察到的勒索軟件操作員使用的命令列表。

緩解措施：

• 對所有數據進行定期備份，以離線存儲為氣隙、密碼保護的副本。確保無法從原始數據所在的任何系統訪問這些副本以進行修改或刪除。
• 實施網絡分段，這樣您網絡上的所有機器都不能從其他機器訪問。 
• 在所有主機上安裝并定期更新殺毒軟件，并啟用實時檢測。
• 更新/補丁發布后立即安裝更新/補丁操作系統、軟件和固件。
• 查看域控制器、服務器、工作站和活動目錄中是否有新的或無法識別的用戶帳戶。
• 審核具有管理權限的用戶帳戶，并以最低權限配置訪問控制。不要授予所有用戶管理權限。
• 禁用未使用的遠程訪問/遠程桌面協議 (RDP) 端口并監控遠程訪問/RDP 日志以發現任何異常活動。
• 考慮為從組織外部收到的電子郵件添加電子郵件橫幅。
• 禁用收到的電子郵件中的超鏈接。
• 登錄帳戶或服務時使用雙重身份驗證。
• 確保對所有賬戶進行例行審計。
• 確保將所有已識別的 IOC 輸入到網絡 SIEM 中以進行持續監控和警報。

   最近，舊金山49人隊NFL橄欖球球隊成為了 BlackByte 勒索軟件攻擊的受害者，該消息由 The Record報道。勒索軟件團伙將該團隊添加到其暗網泄密網站上的受害者名單之后，該團隊披露了這次攻擊。

   該團隊告訴 The Record，已經立即對這次攻擊事件展開調查，并在第三方網絡安全公司的幫助下采取措施遏制該事件，并通知了執法部門。