美國聯(lián)邦調(diào)查局 (FBI) 與美國特勤局發(fā)布了一份聯(lián)合網(wǎng)絡(luò)安全咨詢公告，該公告透露，BlackByte 勒索軟件組織在過去3個(gè)月中入侵了至少3 個(gè)美國關(guān)鍵基礎(chǔ)設(shè)施組織。

而在上周，BlackByte攻擊了美國國家橄欖球聯(lián)盟(NFL)舊金山49人隊(duì)(49ers)，從其組織系統(tǒng)上竊取了數(shù)據(jù)。

BlackByte 勒索軟件操作自 2021 年 9 月以來一直活躍，這是一個(gè)RaaS組，能夠加密受感染的 Windows 主機(jī)系統(tǒng)上的文件，包括物理和虛擬服務(wù)器。2021 年 10 月，來自 Trustwave 的 SpiderLabs 的研究人員 發(fā)布了一個(gè)解密器 ，可以讓 BlackByte 勒索軟件早期版本的受害者免費(fèi)恢復(fù)他們的文件。

政府專家報(bào)告說，該團(tuán)伙利用已知的 Microsoft Exchange Server 漏洞來訪問受害者網(wǎng)絡(luò)，一旦獲得對(duì)網(wǎng)絡(luò)的訪問權(quán)限，攻擊者就會(huì)部署工具來執(zhí)行橫向移動(dòng)并提升權(quán)限，然后再竊取和加密文件。

該公告除了陳述BlackByte的攻擊動(dòng)向，重點(diǎn)是提供了可以用來檢測(cè)和防御BlackByte攻擊的破壞指標(biāo)(IOC)。公告中分享的與BlackByte活動(dòng)相關(guān)的IOC，包括了在被攻擊的微軟互聯(lián)網(wǎng)信息服務(wù)(IIS)服務(wù)器上發(fā)現(xiàn)的可疑ASPX文件的MD5哈希值，以及勒索軟件運(yùn)營商在攻擊中使用的命令列表。

該公告還提供了針對(duì)BlackByte的預(yù)防措施：

• 對(duì)所有數(shù)據(jù)進(jìn)行定期備份，確保無法從原始數(shù)據(jù)所在的任何系統(tǒng)訪問這些副本以進(jìn)行修改或刪除。
• 實(shí)施網(wǎng)絡(luò)分段，使網(wǎng)絡(luò)上的所有機(jī)器都不能從其他機(jī)器訪問。
• 在所有主機(jī)上安裝并定期更新殺毒軟件，并啟用實(shí)時(shí)檢測(cè)。
• 更新/補(bǔ)丁發(fā)布后立即安裝更新/補(bǔ)丁操作系統(tǒng)、軟件和固件。
• 查看域控制器、服務(wù)器、工作站和活動(dòng)目錄中是否有新的或無法識(shí)別的用戶帳戶。
• 審核具有管理權(quán)限的用戶帳戶，并以最低權(quán)限配置訪問控制。不要授予所有用戶管理權(quán)限。
• 禁用未使用的遠(yuǎn)程訪問/遠(yuǎn)程桌面協(xié)議 (RDP) 端口并監(jiān)控遠(yuǎn)程訪問/RDP 日志以發(fā)現(xiàn)任何異?；顒?dòng)。
• 考慮為從組織外部收到的電子郵件添加電子郵件橫幅。
• 禁用收到的電子郵件中的超鏈接。
• 登錄帳戶或服務(wù)時(shí)使用雙重身份驗(yàn)證。
• 確保對(duì)所有賬戶進(jìn)行例行審計(jì)。
• 確保將所有已識(shí)別的 IOC 輸入到網(wǎng)絡(luò) SIEM 中以進(jìn)行持續(xù)監(jiān)控和警報(bào)。

參考來源：https://www.bleepingcomputer.com/news/security/fbi-blackbyte-ransomware-breached-us-critical-infrastructure/