【安全资讯】BlackByte勒索软件攻击美国关键基础设施

引言

2月11日，美国联邦调查局(FBI)披露，在过去三个月中，BlackByte勒索软件团伙至少入侵了三个来自美国关键基础设施部门的组织。截至2021年11月，BlackByte勒索软件已经危害了全球多家企业。

简况

BlackByte勒索软件的受害者包括至少三个美国关键基础设施部门(政府设施、金融、食品和农业)的实体。该组织于近日攻击了NFL 的旧金山 49 人队，导致该球队公司部分 IT 网络暂时中断。BlackByte称他们窃取了该球队的数据，并在数据泄露博客上泄露了近 300MB 的文件。

BlackByte 是一个勒索软件即服务 (RaaS) 组织，至少从 2021 年 7 月开始就一直活跃，加密受感染的 Windows 主机系统上的文件，包括虚拟服务器。该团伙在攻击中利用软件漏洞（包括 Microsoft Exchange Server）来获得对其企业目标网络的初始访问权限。

FBI发布的公告是为了提供组织可以用来检测和防御 BlackByte 攻击的妥协指标 (IOC)。公告中分享的与 BlackByte 活动相关的 IOC 包括在受感染的 Microsoft Internet 信息服务 (IIS) 服务器上发现的可疑 ASPX 文件的 MD5 哈希值，以及勒索软件运营商在攻击期间使用的命令列表。

建议

研究人员分享了一系列可以减轻 BlackByte 攻击的措施，包括：

• 对所有数据进行定期备份；
• 实施网络分段；
• 在所有主机上安装并定期更新杀毒软件，并启用实时检测；
• 禁用未使用的远程访问/远程桌面协议 (RDP) 端口并监控远程访问/RDP 日志以发现任何异常活动；
• 禁用收到的电子邮件中的超链接。