ABD Federal Soruşturma Bürosu (FBI), BlackByte fidye yazılımı grubunun en az üç kuruluşun ağlarını ihlal ettiğini ortaya çıkardı. ABD kritik altyapı sektörleri son üç ayda.
Bu, Cuma günü ABD Gizli Servisi ile koordineli olarak yayınlanan bir TLP:WHITE ortak siber güvenlik tavsiyesinde açıklandı.
Federal kolluk kuvveti ajansı, “Kasım 2021 itibariyle, BlackByte fidye yazılımı, en az üç ABD kritik altyapı sektöründeki (hükümet tesisleri, finans ve gıda ve tarım) kuruluşlar da dahil olmak üzere birden fazla ABD ve yabancı işletmeyi tehlikeye attı.” Dedi. [PDF].
“BlackByte, fiziksel ve sanal sunucular dahil olmak üzere güvenliği ihlal edilmiş Windows ana bilgisayar sistemlerindeki dosyaları şifreleyen bir Hizmet Olarak Fidye Yazılımı (RaaS) grubudur.”
Danışmanlık, kuruluşların BlackByte saldırılarını tespit etmek ve bunlara karşı savunmak için kullanabilecekleri uzlaşma göstergeleri (IOC’ler) sağlamaya odaklanır.
Danışma belgesinde paylaşılan BlackByte etkinliğiyle ilişkili IOC’ler, güvenliği ihlal edilmiş Microsoft Internet Information Services (IIS) sunucularında keşfedilen şüpheli ASPX dosyalarının MD5 karmalarını ve fidye yazılımı operatörlerinin saldırılar sırasında kullandığı komutların bir listesini içerir.
49ers fidye yazılımı saldırısı
İlgili bir haberde, NFL’nin San Francisco 49ers takımı hafta sonu BlackByte fidye yazılımı saldırısından kurtarma.
Tehdit aktörleri, olay sırasında futbol organizasyonunun sunucularından da veri çaldıklarını ve veri sızıntısı bloglarına yaklaşık 300 MB değerinde dosya sızdırdıklarını söyleyerek saldırıyı üstlendiler.
49ers, BleepingComputer’a yaptığı açıklamada fidye yazılımı saldırısını doğruladı ve bunun yalnızca BT ağının bölümlerinde geçici bir kesintiye neden olduğunu söyledi.
BlackByte fidye yazılımı işlemi aktif en az Temmuz 2021’den beridünya çapında kurumsal kurbanları hedef almaya başladığında.
Bu çete, kurumsal hedeflerinin ağına ilk erişim sağlamak için yazılım güvenlik açıklarından (Microsoft Exchange Server dahil) yararlanmasıyla bilinir; bu, sunucularınızı güncel tutmanın büyük olasılıkla saldırılarını engelleyeceğini gösterir.
Ekim ayında siber güvenlik firması Trustwave ücretsiz bir BlackByte şifre çözücü yarattı ve yayınladıfidye yazılımı çetesi birden fazla saldırıda aynı şifre çözme/şifreleme anahtarını kullandıktan sonra bazı kurbanların dosyalarını ücretsiz olarak geri yüklemelerini sağlar.
İki kurum ayrıca, yöneticilerin BlackByte saldırılarını hafifletmesine yardımcı olabilecek bir önlem listesi paylaştı:
- Hava boşluklu, parola korumalı kopyalar çevrimdışı olarak saklanacak tüm verilerin düzenli yedeklerini uygulayın. Bu kopyalara, orijinal verilerin bulunduğu herhangi bir sistemden değiştirilmek veya silinmek üzere erişilemediğinden emin olun.
- Ağınızdaki tüm makinelere diğer tüm makinelerden erişilemeyecek şekilde ağ segmentasyonu uygulayın.
- Tüm ana bilgisayarlara virüsten koruma yazılımı yükleyin ve düzenli olarak güncelleyin ve gerçek zamanlı algılamayı etkinleştirin.
- Güncellemeler/yamalar yayınlanır yayınlanmaz güncellemeleri/yama işletim sistemlerini, yazılımları ve bellenimi yükleyin.
- Yeni veya tanınmayan kullanıcı hesapları için etki alanı denetleyicilerini, sunucuları, iş istasyonlarını ve etkin dizinleri inceleyin.
- Yönetici ayrıcalıklarına sahip kullanıcı hesaplarını denetleyin ve erişim denetimlerini en az ayrıcalık göz önünde bulundurarak yapılandırın. Tüm kullanıcılara yönetici ayrıcalıkları vermeyin.
- Kullanılmayan uzaktan erişim/Uzak Masaüstü Protokolü (RDP) bağlantı noktalarını devre dışı bırakın ve herhangi bir olağandışı etkinlik için uzaktan erişim/RDP günlüklerini izleyin.
- Kuruluşunuzun dışından alınan e-postalara bir e-posta başlığı eklemeyi düşünün.
- Alınan e-postalardaki köprüleri devre dışı bırakın.
- Hesaplarda veya hizmetlerde oturum açarken çift kimlik doğrulama kullanın.
- Tüm hesaplar için rutin denetim yapıldığından emin olun.
- Sürekli izleme ve uyarılar için tanımlanan tüm IOC’lerin ağ SIEM’ine girildiğinden emin olun.