Blackbyte Ransomware突破了至少3个美国关键基础设施组织

最后更新：2022.02.24

美国联邦调查局（FBI）表示，Blackbyte Ransomware Gang已违反了来自＆NBSP的三个组织;美国关键基础设施部门。

美国联邦调查局（FBI）发表了一个联合网络安全咨询美国秘密服务，透露Blackbyte Ransomware集团已违反了来自＆NBSP的三个组织;美国关键基础设施扇区＆NBSP;在过去的三个月里。

这一联合网络安全咨询是由联邦调查局（FBI）和美国秘密服务（USSS）制定的，以提供关于Blackbyte Ransomware的信息。截至2021年11月，Blackbyte RansomWare遭到了多个美国和外国企业，包括至少三个美国关键基础设施部门（政府设施，金融和粮食和农业）的实体。阅读咨询。Blackbyte是作为服务（RAAS）GR的赎金软件op在受到影响的Windows主机系统上加密文件，包括物理和虚拟服务器。

自达2021年10月2021年10月2021年的研究人员从TrustWave的Spiderlabs＆NBSP进行了活跃;释放了一个解密器和NBSP;那可以允许早期版本的Blackbyte RansomWare的受害者免费恢复他们的文件。

政府专家报告说，该团伙利用了一个已知的Microsoft Exchange Server漏洞，以获得对某些受害者网络的访问。一旦获得对网络的访问权限，威胁Actors部署工具以在exfiltrated和加密文件之前执行横向移动和升级权限。

咨询包括Blackbyte Ransomware操作的妥协（IOC）的指标，可以允许防守者检测威胁。该报告包括在受损Microsoft Internet信息服务（IIS）服务器和Comm列表中发现的MD5散列可疑aspx文件由研究人员观察的Ransomware运算符使用。

咨询还提供缓解：

实施所有数据的定期备份要存储为空气拆除，密码受保护的副本脱机。确保从原始数据所在的任何系统都无法访问这些副本。自动化网络分割的所有系统，使得网络上的所有计算机都无法访问所有主机上的所有机床和定期更新防病毒软件，并启用真实时间检测。在释放更新/修补程序时，将更新/修补程序操作系统，软件和固件。在新的或无法识别的用户帐户中提供更新/修补程序。阅读域控制器，服务器，工作站和活动目录。具有管理权限和配置访问的addit用户帐户。控制有最不特权的控制。请勿提供所有用户管理权限。可用于未使用的远程访问/远程桌面协议（RDP）端口和监视器r表达任何异常活动的访问/ RDP日志.Consider将电子邮件横幅添加到从组织外部收到的电子邮件。在已收到的电子邮件中可在收到的电子邮件中获取的超链接。登录帐户或服务时使用双重身份验证。对于所有帐户进行了案例审计时，可以进行双重身份验证。审计所有帐户。审计已识别的IOC输入网络暹粒，以进行连续监控和警报。

最近旧金山49员NFL团队将受害者落在Blackbyte赎金软件攻击中，新闻是＆NBSP; By＆Nbsp;

记录

记录记录记录

的。告诉记录，它立即启动了对攻击的调查，并采取了措施在第三方网络安全公司的帮助下遏制事件，它还通知执法。

- END -