CISA, FBI og NSA impliserte BlackMatter ransomware -gruppen offisielt i de siste angrepene på to landbruksselskaper, og bekreftet vurderingene til noen sikkerhetsforskere som sa at gjengen sto bak hendelser som involverte New Cooperative og Crystal Valley i september.
New Cooperative-en leverandør av gårdstjenester i Iowa-ble rammet av et ransomware-angrep 20. september, og BlackMatter krevde 5,9 millioner dollar i løsepenger. Crystal Valley, med base i Minnesota, ble angrepet to dager senere. Begge angrepene kom da innhøstingen begynte å øke for bønder.
I rådgivningen sa CISA, FBI og NSA at BlackMatter har rettet seg mot flere amerikanske kritiske infrastrukturenheter siden juli. Den rådgivende gir en detaljert undersøkelse av BlackMatters taktikk og beskriver hvordan gruppen vanligvis angriper organisasjoner.
“Ved å bruke innebygd, tidligere kompromittert legitimasjon, benytter BlackMatter Lightweight Directory Access Protocol (LDAP) og Server Message Block (SMB) -protokollen for å få tilgang til Active Directory (AD) for å oppdage alle verter på nettverket,” CISA sa i den rådgivende.
“BlackMatter krypterer deretter vertene og delte stasjoner eksternt etter hvert som de blir funnet. Ransomware -angrep mot kritiske infrastrukturenheter kan direkte påvirke forbrukernes tilgang til kritiske infrastrukturtjenester; derfor oppfordrer CISA, FBI og NSA alle organisasjoner, inkludert kritiske infrastrukturorganisasjoner, til å implementer anbefalingene i Mitigations-delen av denne felles rådgivningen. “
De rettshåndhevende organisasjonene bemerket at BlackMatter fungerer som ransomware-as-a-service og muligens kan være en rebrand av DarkSide, en ransomware-gruppe som angivelig stengt butikk i mai etter å ha angrepet Colonial Pipeline.
De la til at BlackMatter har krevd løsepenger fra $ 80 000 til $ 15 000 000 i Bitcoin og Monero.
“Spesielt utnytter denne varianten av BlackMatter de innebygde legitimasjonene og SMB -protokollen for å eksternt kryptere, fra den opprinnelige kompromitterte verten, alle oppdagede andres innhold, inkludert ADMIN $, C $, SYSVOL og NETLOGON. BlackMatter -aktører bruker en separat krypteringsbinari for Linux-baserte maskiner og rutinemessig krypterer ESXi virtuelle maskiner. I stedet for å kryptere sikkerhetskopisystemer, tørker eller formaterer BlackMatter-aktører sikkerhetskopierte datalagre og -apparater, “forklarte rådgiveren.
” BlackMatter bruker legitim fjernovervåkings- og administrasjonsprogramvare og programvare for eksternt skrivebord, ofte ved å sette opp prøvekontoer, for å opprettholde utholdenhet i offernettverk. BlackMatter prøver å eksfiltrere data for utpressing. BlackMatter krypterer aksjer eksternt via SMB -protokoll og slipper et ransomware -notat i hver katalog. BlackMatter kan tørke sikkerhetskopisystemer. “< /p>
Meldingen viser dusinvis av tiltak organisasjoner bør ta for å beskytte seg mot BlackMatter, inkludert implementering av detekteringssignaturer, sterke passord, MFA, rutinemessig oppdatering, nettverkssegmentering og tilgangsbegrensninger.
På grunn av økningen i ransomware -angrep i helger og helligdager foreslo CISA organisasjoner å implementere tidsbasert tilgang for kontoer som er angitt på administratornivå og høyere.
I september ga FBI ut en egen melding som advarte selskaper i næringsmiddel- og landbrukssektoren om å se opp for ransomware -angrep for å forstyrre forsyningskjeder. FBI -notatet sa at ransomware -grupper søker å “forstyrre driften, forårsake økonomisk tap og påvirke matforsyningskjeden negativt.”
“Ransomware kan påvirke virksomheter i hele sektoren, fra små gårder til store produsenter, prosessorer og produsenter, og markeder og restauranter. Cyberkriminelle trusselaktører utnytter nettverkssårbarheter for å eksfiltrere data og kryptere systemer i en sektor som i økende grad er avhengig av smart teknologi, industriell kontroll systemer og internettbaserte automatiseringssystemer, “sa FBI.
“Mat- og landbruksbedrifter som er utsatt for ransomware, lider betydelige økonomiske tap som følge av løsepenger, tap av produktivitet og utbedringskostnader. Selskaper kan også oppleve tap av proprietær informasjon og personlig identifiserbar informasjon og kan lide omdømmeskade som følge av et ransomware -angrep. “
I meldingen ble det angitt flere angrep på mat- og jordbrukssektoren siden november, inkludert et Sodinokibi/REvil -ransomware -angrep på et amerikansk bakeriselskap, angrepet på den globale kjøttprosessoren JBS i mai, et angrep på et amerikansk drikkefirma i mars 2021 og et angrep i januar på en amerikansk gård som forårsaket tap på omtrent 9 millioner dollar.
I november 2020 siterte FBI også et angrep på en amerikansk internasjonal mat- og jordbruksvirksomhet som ble rammet av et krav om løsepenger på 40 millioner dollar fra OnePercent Group. Selskapet klarte å komme seg etter sikkerhetskopier og betalte ikke løsepenger.
Sikkerhet
Når VPN er et spørsmål om liv eller død, ikke stol på anmeldelser Ransomware gjenger klager over at andre skurker stjeler løsesummen sin. Bandwidth CEO bekrefter avbrudd forårsaket av DDoS-angrep Disse systemene møter milliarder av angrep hver måned mens hackere prøver å gjette passord Hvordan få en best betalende jobb innen nettsikkerhet Cybersecurity 101: Beskytt personvernet ditt mot hackere , spioner, regjeringen
Relaterte emner:
Datahåndteringssikkerhet TV CXO datasentre 