El FBI y el Servicio Secreto de EE. UU. publicaron hoy un aviso conjunto, advirtiendo sobre el grupo de ransomware BlackByte.
Al afirmar que BlackByte ha comprometido a varias empresas estadounidenses en sectores críticos, el aviso contiene hashes MD5, IOC y consejos para administradores de sistemas sobre la detección y prevención de ataques de ransomware BlackByte.
Advertencia contra BlackByte Ransomware
Estando activa desde julio del año pasado, la pandilla BlackByte trabaja en el modelo Ransomware-as-a-service. Hemos visto que la mayoría de sus víctimas son empresas y están comprometidas a través de varios medios, incluidas las explotaciones contra los servidores de Microsoft Exchange.
El malware de la pandilla puede encriptar tanto los sistemas físicos como los virtuales y tiene la El equipo San Francisco 49ers de la NFL como su última víctima. El equipo deportivo anunció que fue atacado por un ransomware a fines de la semana pasada, lo que provocó algunas interrupciones en los servicios.
Si bien ahora se está recuperando, BlackByte, el grupo de ransomware detrás de este incidente, filtró 300 MB de datos robados de 49ers en su blog de fuga de datos.. Como ahora es una preocupación creciente, el FBI y el Servicio Secreto de EE. UU. han compartido una TLP: BLANCO esta semana. En el aviso, los equipos combinados escribieron;
“A partir de noviembre de 2021, el ransomware BlackByte había comprometido múltiples empresas estadounidenses y extranjeras, incluidas entidades en al menos tres sectores de infraestructura crítica de EE. UU. (instalaciones gubernamentales, finanzas y alimentos y agricultura)”.
El aviso contiene IOC de la actividad de BlackByte, hashes MD5 de archivos ASPX sospechosos descubiertos en servidores comprometidos de Microsoft Internet Information Services y un montón de comandos utilizados por el actor de ransomware. Además, los administradores de sistemas pueden seguir los siguientes consejos para mitigar los ataques de BlackByte;
- Implemente copias de seguridad periódicas de todos los datos almacenados como copias protegidas con contraseña y sin conexión a Internet. Asegúrese de que no se pueda acceder a estas copias para modificarlas o eliminarlas desde ningún sistema donde residan los datos originales.
- Implemente la segmentación de la red, de modo que no se pueda acceder a todas las máquinas de su red desde cualquier otra máquina.
- Instale y actualice regularmente el software antivirus en todos los hosts y habilite la detección en tiempo real.
- Instale actualizaciones/parche de sistemas operativos, software y firmware tan pronto como se publiquen las actualizaciones/parches.
- Revise los controladores de dominio, los servidores, las estaciones de trabajo y los directorios activos en busca de cuentas de usuario nuevas o no reconocidas.
- Audite las cuentas de usuario con privilegios administrativos y configure los controles de acceso teniendo en cuenta el privilegio mínimo. No otorgue privilegios administrativos a todos los usuarios.
- Deshabilite los puertos de acceso remoto/Protocolo de escritorio remoto (RDP) no utilizados y controle los registros de acceso remoto/RDP para detectar cualquier actividad inusual.
- Considere agregar un banner de correo electrónico a los correos electrónicos recibidos desde fuera de su organización.
- Deshabilite los hipervínculos en los correos electrónicos recibidos.
- Utilice la doble autenticación al iniciar sesión en cuentas o servicios.
- Asegúrese de que se realicen auditorías de rutina para todas las cuentas.
- Asegúrese de que todos los IOC identificados se ingresen en la red SIEM para monitoreo y alertas continuos.
