FBI：BlackByte 勒索軟件已入侵美國關鍵基礎設施

美國聯邦調查局 (FBI) 與美國特勤局發布了一份聯合網絡安全咨詢公告，該公告透露，BlackByte 勒索軟件組織在過去3個月中入侵了至少3 個美國關鍵基礎設施組織。

而在上周，BlackByte攻擊了美國國家橄欖球聯盟（NFL）舊金山49人隊（49ers），從其組織系統上竊取了數據。

BlackByte 勒索軟件操作自 2021 年 9 月以來一直處于活躍狀態，這是一個RaaS組，能夠加密受感染的 Windows 主機系統上的文件，包括物理和虛擬服務器。2021 年 10 月，來自 Trustwave 的 SpiderLabs 的研究人員 發布了一個解密器 ，可以讓 BlackByte 勒索軟件早期版本的受害者免費恢復他們的文件。

政府專家報告說，該團伙利用已知的 Microsoft Exchange Server 漏洞來訪問受害者網絡，一旦獲得對網絡的訪問權限，攻擊者就會部署工具來執行橫向移動并提升權限，然后再竊取和加密文件。

該公告除了陳述BlackByte的攻擊動向，重點是提供了可以用來檢測和防御BlackByte攻擊的破壞指標（IOC）。公告中分享的與BlackByte活動相關的IOC，包括了在被攻擊的微軟互聯網信息服務（IIS）服務器上發現的可疑ASPX文件的MD5哈希值，以及勒索軟件運營商在攻擊中使用的命令列表。

該公告還提供了針對BlackByte的預防措施：

• 對所有數據進行定期備份，確保無法從原始數據所在的任何系統訪問這些副本以進行修改或刪除。
• 實施網絡分段，使網絡上的所有機器都不能從其他機器訪問。
• 在所有主機上安裝并定期更新殺毒軟件，并啟用實時檢測。
• 更新/補丁發布后立即安裝更新/補丁操作系統、軟件和固件。
• 查看域控制器、服務器、工作站和活動目錄中是否有新的或無法識別的用戶帳戶。
• 審核具有管理權限的用戶帳戶，并以最低權限配置訪問控制。不要授予所有用戶管理權限。
• 禁用未使用的遠程訪問/遠程桌面協議 (RDP) 端口并監控遠程訪問/RDP 日志以發現任何異常活動。
• 考慮為從組織外部收到的電子郵件添加電子郵件橫幅。
• 禁用收到的電子郵件中的超鏈接。
• 登錄帳戶或服務時使用雙重身份驗證。
• 確保對所有賬戶進行例行審計。
• 確保將所有已識別的 IOC 輸入到網絡 SIEM 中以進行持續監控和警報。