美國聯(lián)邦調(diào)查局 (FBI) 與美國特勤局發(fā)布了一份聯(lián)合網(wǎng)絡(luò)安全咨詢公告，該公告透露，BlackByte 勒索軟件組織在過去3個月中入侵了至少3 個美國關(guān)鍵基礎(chǔ)設(shè)施組織。

而在上周，BlackByte攻擊了美國國家橄欖球聯(lián)盟(NFL)舊金山49人隊(49ers)，從其組織系統(tǒng)上竊取了數(shù)據(jù)。

BlackByte 勒索軟件操作自 2021 年 9 月以來一直活躍，這是一個RaaS組，能夠加密受感染的 Windows 主機(jī)系統(tǒng)上的文件，包括物理和虛擬服務(wù)器。2021 年 10 月，來自 Trustwave 的 SpiderLabs 的研究人員 發(fā)布了一個解密器 ，可以讓 BlackByte 勒索軟件早期版本的受害者免費(fèi)恢復(fù)他們的文件。

政府專家報告說，該團(tuán)伙利用已知的 Microsoft Exchange Server 漏洞來訪問受害者網(wǎng)絡(luò)，一旦獲得對網(wǎng)絡(luò)的訪問權(quán)限，攻擊者就會部署工具來執(zhí)行橫向移動并提升權(quán)限，然后再竊取和加密文件。

該公告除了陳述BlackByte的攻擊動向，重點(diǎn)是提供了可以用來檢測和防御BlackByte攻擊的破壞指標(biāo)(IOC)。公告中分享的與BlackByte活動相關(guān)的IOC，包括了在被攻擊的微軟互聯(lián)網(wǎng)信息服務(wù)(IIS)服務(wù)器上發(fā)現(xiàn)的可疑ASPX文件的MD5哈希值，以及勒索軟件運(yùn)營商在攻擊中使用的命令列表。

該公告還提供了針對BlackByte的預(yù)防措施：

• 對所有數(shù)據(jù)進(jìn)行定期備份，確保無法從原始數(shù)據(jù)所在的任何系統(tǒng)訪問這些副本以進(jìn)行修改或刪除。
• 實施網(wǎng)絡(luò)分段，使網(wǎng)絡(luò)上的所有機(jī)器都不能從其他機(jī)器訪問。
• 在所有主機(jī)上安裝并定期更新殺毒軟件，并啟用實時檢測。
• 更新/補(bǔ)丁發(fā)布后立即安裝更新/補(bǔ)丁操作系統(tǒng)、軟件和固件。
• 查看域控制器、服務(wù)器、工作站和活動目錄中是否有新的或無法識別的用戶帳戶。
• 審核具有管理權(quán)限的用戶帳戶，并以最低權(quán)限配置訪問控制。不要授予所有用戶管理權(quán)限。
• 禁用未使用的遠(yuǎn)程訪問/遠(yuǎn)程桌面協(xié)議 (RDP) 端口并監(jiān)控遠(yuǎn)程訪問/RDP 日志以發(fā)現(xiàn)任何異?；顒?。
• 考慮為從組織外部收到的電子郵件添加電子郵件橫幅。
• 禁用收到的電子郵件中的超鏈接。
• 登錄帳戶或服務(wù)時使用雙重身份驗證。
• 確保對所有賬戶進(jìn)行例行審計。
• 確保將所有已識別的 IOC 輸入到網(wǎng)絡(luò) SIEM 中以進(jìn)行持續(xù)監(jiān)控和警報。

參考來源：https://www.bleepingcomputer.com/news/security/fbi-blackbyte-ransomware-breached-us-critical-infrastructure/