Technologische Neuigkeiten, Bewertungen und Tipps!

FBI gibt Tipps zur Abwehr von BlackByte-Ransomware-Angriffen

Das FBI und der US-Geheimdienst haben heute eine gemeinsame Warnung vor der Ransomware-Gruppe BlackByte veröffentlicht.

Die Warnung besagt, dass BlackByte mehrere US-Unternehmen in kritischen Sektoren kompromittiert hat, und enthält MD5-Hashes, IOCs sowie Tipps für Systemadministratoren zum Erkennen und Verhindern von BlackByte-Ransomware-Angriffen.

Warnung vor BlackByte Ransomware

Die BlackByte-Bande ist seit Juli letzten Jahres aktiv und arbeitet nach dem Ransomware-as-a-Service-Modell. Wir haben festgestellt, dass die meisten ihrer Opfer Unternehmen sind und auf verschiedene Weise kompromittiert werden, darunter auch durch Angriffe auf Microsoft Exchange Server.

Die Malware der Bande kann sowohl physische als auch virtuelle Systeme verschlüsseln und hat das NFL-Team San Francisco 49ers als jüngstes Opfer. Das Sportteam gab Ende letzter Woche bekannt, von einem Ransomware-Angriff betroffen zu sein, der zu einigen Störungen der Dienste führte.

Während es sich jetzt erholt, BlackByte, die Ransomware-Gruppe hinter diesem Vorfall, hat auf ihrem Datenleck-Blog 300 MB an gestohlenen Daten der 49ers geleakt.. Da dies nun ein wachsendes Problem darstellt, haben das FBI und der US Secret Service diese Woche ein TLP: WHITE veröffentlicht. In der Warnung schrieben die vereinten Teams:

Die Warnung enthält IOCs der BlackByte-Aktivität, MD5-Hashes verdächtiger ASPX-Dateien, die auf kompromittierten Microsoft Internet Information Services-Servern entdeckt wurden, und eine Reihe von Befehlen, die vom Ransomware-Akteur verwendet wurden. Außerdem können Systemadministratoren die folgenden Tipps befolgen, um BlackByte-Angriffe abzuschwächen:

  • Führen Sie regelmäßige Backups aller Daten durch, die offline als passwortgeschützte Air-Gap-Kopien gespeichert sind. Stellen Sie sicher, dass diese Kopien von keinem System aus, auf dem sich die Originaldaten befinden, geändert oder gelöscht werden können.
  • Implementieren Sie eine Netzwerksegmentierung, sodass nicht alle Maschinen in Ihrem Netzwerk von jeder anderen Maschine aus zugänglich sind.
  • Installieren Sie auf allen Hosts eine Antivirensoftware, aktualisieren Sie diese regelmäßig und aktivieren Sie die Echtzeiterkennung.
  • Installieren Sie Updates/Patches für Betriebssysteme, Software und Firmware, sobald Updates/Patches veröffentlicht werden.
  • Überprüfen Sie Domänencontroller, Server, Arbeitsstationen und aktive Verzeichnisse auf neue oder nicht erkannte Benutzerkonten.
  • Überprüfen Sie Benutzerkonten mit Administratorrechten und konfigurieren Sie die Zugriffskontrollen mit den geringsten Berechtigungen. Geben Sie nicht allen Benutzern Administratorrechte.
  • Deaktivieren Sie ungenutzte Remote Access-/Remote Desktop Protocol (RDP)-Ports und überwachen Sie Remote Access-/RDP-Protokolle auf ungewöhnliche Aktivitäten.
  • Erwägen Sie, E-Mails, die Sie von außerhalb Ihrer Organisation erhalten, ein E-Mail-Banner hinzuzufügen.
  • Deaktivieren Sie Hyperlinks in empfangenen E-Mails.
  • Verwenden Sie beim Anmelden bei Konten oder Diensten eine doppelte Authentifizierung.
  • Stellen Sie sicher, dass für alle Konten routinemäßige Prüfungen durchgeführt werden.
  • Stellen Sie sicher, dass alle identifizierten IOCs zur kontinuierlichen Überwachung und für Warnmeldungen in das Netzwerk-SIEM eingegeben werden.

Your Header Sidebar area is currently empty. Hurry up and add some widgets.