Amerykańskie agencje wywiadowcze wydają porady dotyczące gangu BlackMatter


Gang ransomware BlackMatter zaatakował podmioty infrastruktury krytycznej z siedzibą w USA, w tym dwie organizacje z sektora spożywczego i rolniczego, zgodnie ze wspólnym doradztwem w zakresie bezpieczeństwa cybernetycznego wydanym przez amerykańskie agencje wywiadowcze.

ten doradczy, opublikowany 18 października 2021 r. przez Agencję Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA), Federalne Biuro Śledcze (FBI) i Agencję Bezpieczeństwa Narodowego (NSA), zawiera przegląd zagrożeń stwarzanych przez BlackMatter oraz szczegóły techniczne ataków.

„Po raz pierwszy zaobserwowano w lipcu 2021 r., że cyberprzestępcy wykorzystali BlackMatter z wbudowanymi, wcześniej złamanymi danymi uwierzytelniającymi, które umożliwiły im dostęp do sieci i zdalne szyfrowanie hostów i dysków współdzielonych” – powiedział NSA komunikat prasowy.

„Gdy aktorzy znaleźli w sieci zapasowe magazyny danych i urządzenia, a nie przechowywane poza siedzibą, wymazali lub ponownie sformatowali dane. BlackMatter to narzędzie typu ransomware jako usługa (RaaS), co oznacza, że ​​programiści mogą czerpać zyski z podmiotów powiązanych z cyberprzestępcami (tj. aktorów BlackMatter), którzy je wdrażają”.

Samo doradztwo mówiło: „BlackMatter jest możliwym rebrandingiem DarkSide, RaaS, który był aktywny od września 2020 r. Do maja 2021 r. Aktorzy BlackMatter zaatakowali wiele organizacji z siedzibą w USA i zażądali zapłaty okupu w wysokości od 80 000 do 15 000 000 USD w bitcoinach i monero. ”

Dodał, że wariant ransomware BlackMatter wykorzystuje „osadzone dane uwierzytelniające administratora lub użytkownika, które zostały wcześniej zhakowane, oraz NtQuerySystemInformation i EnumServicesStatusExW do wyliczenia odpowiednio uruchomionych procesów i usług”.

Reklama

Zauważono również, że BlackMatter używa oddzielnego pliku binarnego szyfrowania dla maszyn opartych na systemie Linux i rutynowo szyfruje maszyny wirtualne ESXi: „Zamiast szyfrowania systemów kopii zapasowych, aktorzy BlackMatter czyszczą lub ponownie formatują magazyny danych i urządzenia kopii zapasowych”.

Chociaż porada uwiarygadnia pogląd, że BlackMatter jest rebrandingiem nieistniejącego już oprogramowania ransomware DarkSide – przypisywanego atak na rurociąg kolonialny – sama grupa potwierdziła to, mimo że inspirowała się operacją DarkSide i współpracowała w przeszłości z niektórymi z jej oddziałów, to własny, odrębny projekt.

Chociaż amerykańskie agencje wywiadowcze nie potwierdziły, które dwie organizacje infrastruktury krytycznej zostały zaatakowane, BlackMatter ukierunkowany na amerykańską spółdzielnię zbożową Nowa spółdzielnia we wrześniu 2021 r.

Twierdził, że ukradł dane dotyczące zasobów finansowych i ludzkich, informacje o badaniach i rozwoju oraz kod źródłowy zastrzeżonego oprogramowania SoilMap firmy New Cooperative – i zażądał okupu w wysokości 5,9 miliona dolarów.

Według Roba Joyce’a, dyrektora ds. bezpieczeństwa cybernetycznego w NSA, zagrożenie ze strony oprogramowania ransomware wykroczyło poza konkretny wpływ na firmę ofiary i stało się problemem bezpieczeństwa narodowego. „Umiejętności techniczne i analiza zagrożeń NSA będą nadal wspierać naszych partnerów w rządzie i przemyśle w degradacji przyczółków przeciwnika do sieci, w których uruchamiają oprogramowanie ransomware” – powiedział.

„Zastosowanie środków łagodzących we wspólnym doradztwie z CISA i FBI ochroni sieci i zmniejszy ryzyko przed BlackMatter i innymi atakami ransomware”.

Wcześniej w tym miesiącu senator USA i była kandydatka Demokratów na prezydenta Elizabeth Warren, obok kongresmenek z Karoliny Północnej, Deborah Ross, wprowadził dwuizbową ustawę o ujawnieniu okupu.

Jeśli zostanie uchwalony, rachunek wymagałoby od organizacji, które zdecydują się zapłacić okup – a nie osób prywatnych – ujawnienia informacji o zapłaceniu okupu w ciągu i nie później niż 48 godzin po dokonaniu płatności. Obejmuje to ile zapłacili, jaka waluta została użyta i wszelkie znane informacje o ich napastnikach.

Bryan Vorndran, zastępca dyrektora Cyber ​​Division FBI, powiedział, że zbyt wiele incydentów związanych z oprogramowaniem ransomware nie jest zgłaszanych i wezwał organizacje, których to dotyczy, do skontaktowania się z lokalnym biurem terenowym FBI.

„Zgłaszając incydent cybernetyczny, docelowe podmioty zwiększają naszą zdolność do reagowania i prowadzenia dochodzeń w celu zakłócenia operacji cyberprzestępczych” – powiedział. „Będziemy nadal wykorzystywać nasze wyjątkowe autorytety i możliwości, aby chronić Amerykanów przed tym zagrożeniem. Jednak nie możemy tego osiągnąć sami.

„Jesteśmy zaangażowani w dostarczanie partnerom z sektora publicznego i prywatnego informacji, które zwiększą ich zdolność do zmniejszania podatności i zwiększania świadomości na temat potencjalnych exploitów”.

Poradnik zawierał również szereg zaleceń dotyczących najlepszych praktyk łagodzących skutki dla organizacji, takich jak: wdrażanie i egzekwowanie procedur tworzenia kopii zapasowych; używanie silnych, unikalnych haseł; wdrażanie uwierzytelniania wieloskładnikowego; oraz wdrożenie segmentacji sieci i monitorowania przechodzenia.

Zaleca również ograniczenie dostępu do zasobów przez sieć poprzez ograniczenie uprawnień tylko do niezbędnych usług lub kont użytkowników oraz użycie zapory opartej na hoście, aby zezwalać na połączenia z udziałami administracyjnymi za pośrednictwem SMB tylko z ograniczonego zestawu maszyn administracyjnych.

W szczególności w przypadku dostawców infrastruktury krytycznej dodatkowe środki zaradcze powinny mieć postać: wyłączenia przechowywania haseł w postaci zwykłego tekstu w pamięci LSASS; ograniczenie New Technology Local Area Network Manager (NTLM) i uwierzytelniania WDigest; wdrożenie ochrony poświadczeń dla Windows 10 i Server 2016; i zminimalizowanie powierzchni ataku AD, powiedział.



Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

Recenzja Deep Sky: Genialny film kosmiczny IMAX, który może zjednoczyć ludzkość

Co robisz, gdy meldujesz się w pokoju hotelowym? Od razu się rozglądasz. Rozglądasz się za gniazdkami, odsuwasz zasłonę, otwierasz...

Horizon Forbidden West Complete Edition Zaktualizowano do wersji 1.0.43.0 na PC

Hej wszystkim, dzisiejsza aktualizacja dla Horizon Forbidden West Complete Edition na PC zawiera poprawki awarii, różne poprawki błędów i ulepszenia oparte na opiniach...

z perspektywy użytkownika Androida

Kluczowe dania na wynos Apple jest uwikłane w nowy spór prawny z Departamentem Sprawiedliwości w związku z rzekomymi naruszeniami prawa antymonopolowego...
Advertisment