FBI表示,截至2021年11月,BlackByte勒索軟件已經侵害多家美國及國外企業,其中包括至少三個美國關鍵基礎設施實體;
其重要手段是利用軟件漏洞(如Exchange)獲取目標企業網絡的初始訪問權限。盡早更新服務器軟件有望阻遏他們的攻勢。
美國聯邦調查局(FBI)透露,勒索軟件團伙BlackByte在過去三個月中至少對三個美國本土關鍵基礎設施部門的組織網絡實施過入侵。
這一消息披露自FBI與美國特勤局2月11日共同發布的聯合網絡安全咨詢報告。
作為聯邦政府級別的執法機構,FBI表示,“截至2021年11月,BlackByte勒索軟件已經侵害多家美國及國外企業,其中包括至少三個美國關鍵基礎設施實體(分別涉及政府設施、金融以及食品與農業領域)。”
“BlackByte是一個勒索軟件即服務(RaaS)團伙,主要攻擊手段是對受感染Windows主機系統上的文件實施加密鎖定,包括物理與虛擬服務器。”
這份報告的重點,是為組織提供可用于檢測及抵御BlackByte攻擊活動的威脅指標(IOC)。例如在受感染微軟IIS服務器上發現的可疑ASPX文件的MD5哈希值,以及勒索軟件操縱者在攻擊期間使用的命令列表。
受害者包括舊金山49人隊
2月13日,美國職業橄欖球聯盟(NFL)的舊金山49人隊表示,他們正努力從BlackByte勒索軟件的攻擊中恢復正常。
BlackByte團伙承認發動了這次攻擊,并表示在攻擊期間成功從這支橄欖球隊的服務器上竊取到數據,并已經把近300 MB的文件泄露在了數據泄露博客之上。
舊金山49人隊在寫給媒體的一份聲明中證實了勒索軟件攻擊的存在,但強調攻擊只是暫時中斷了部分IT網絡。
BlackByte勒索軟件團伙至少從2021年7月起一直保持活躍,而且攻擊矛頭指向全球各地的企業受害者。
該團伙的招牌手段是利用軟件漏洞(包括Microsoft Exchange Server漏洞)奪取對目標企業網絡的初始訪問權限。從這個角度看,盡早更新服務器軟件有望阻遏他們的攻勢。
2021年10月,安全廠商Trustwave創建并發布了免費的BlackByte解密器。這意味著該勒索軟件團伙在多次攻擊中反復使用相同的加密/解密密鑰之后,一些受害者終于可以免費恢復自己的文件。
