CISA, FBI og NSA implicerede officielt BlackMatter -ransomware -gruppen i de seneste angreb på to landbrugsselskaber, hvilket bekræftede vurderinger af nogle sikkerhedsforskere, der sagde, at banden stod bag hændelser, der involverede New Cooperative og Crystal Valley i september.
New Cooperative-en Iowa-baseret landbrugstjenesteudbyder-blev ramt af et ransomware-angreb den 20. september, og BlackMatter krævede en løsesum på 5,9 millioner dollars. Crystal Valley, baseret i Minnesota, blev angrebet to dage senere. Begge angreb kom, da høsten begyndte at ramme op for landmændene.
I rådgivningen sagde CISA, FBI og NSA, at BlackMatter har målrettet flere amerikanske kritiske infrastrukturenheder siden juli. Den rådgivende giver en detaljeret undersøgelse af BlackMatters taktik og beskriver, hvordan gruppen typisk angriber organisationer.
“Ved hjælp af integrerede, tidligere kompromitterede legitimationsoplysninger udnytter BlackMatter Lightweight Directory Access Protocol (LDAP) og Server Message Block (SMB) -protokollen til at få adgang til Active Directory (AD) til at opdage alle værter på netværket,” CISA sagde i den rådgivende.
“BlackMatter krypterer derefter værter og delte drev eksternt, efterhånden som de findes. Ransomware -angreb mod kritiske infrastrukturenheder kan direkte påvirke forbrugernes adgang til kritiske infrastrukturtjenester; derfor opfordrer CISA, FBI og NSA alle organisationer, herunder kritiske infrastrukturorganisationer, til at implementer anbefalingerne i afsnittet Begrænsninger i denne fælles rådgivning. “
De retshåndhævende organisationer bemærkede, at BlackMatter fungerer som ransomware-as-a-service og muligvis kan være en rebrand af DarkSide, en ransomware-gruppe, der angiveligt lukkede butikken i maj efter at have angrebet Colonial Pipeline.
De tilføjede, at BlackMatter har krævet løsepengebetalinger fra $ 80.000 til $ 15.000.000 i Bitcoin og Monero.
“Denne variant af BlackMatter udnytter især de integrerede legitimationsoplysninger og SMB -protokollen til eksternt at kryptere alle de opdagede andelers indhold, inklusive ADMIN $, C $, SYSVOL og NETLOGON. BlackMatter -aktører bruger en separat krypterings binær til Linux-baserede maskiner og rutinemæssigt krypterer ESXi virtuelle maskiner. I stedet for at kryptere backup-systemer tørrer eller formaterer BlackMatter-aktører backup-datalagre og -apparater, “forklarede den rådgivende.
” BlackMatter udnytter legitim fjernovervågning og styringssoftware og fjernskrivebordssoftware, ofte ved at oprette prøvekonti, for at opretholde vedholdenhed på offernetværk. BlackMatter forsøger at eksfiltrere data til afpresning. BlackMatter krypterer aktier eksternt via SMB -protokol og taber en ransomware -note i hver mappe. BlackMatter kan slette backupsystemer. “< /p>
Meddelelsen viser snesevis af foranstaltninger, organisationer bør tage for at beskytte sig selv mod BlackMatter, herunder implementering af detekteringssignaturer, stærke adgangskoder, MFA, rutinemæssig patching, netværkssegmentering og adgangsbegrænsninger.
På grund af stigningen i ransomware -angreb i weekender og helligdage foreslog CISA organisationer at implementere tidsbaseret adgang til konti, der er angivet på administratorniveau og højere.
I september offentliggjorde FBI sin egen meddelelse, der advarede virksomheder inden for fødevare- og landbrugssektoren om at passe på ransomware -angreb med det formål at forstyrre forsyningskæder. FBI -notatet sagde, at ransomware -grupper søger at “forstyrre driften, forårsage økonomisk tab og påvirke fødevareforsyningskæden negativt.”
“Ransomware kan påvirke virksomheder i hele sektoren, fra små gårde til store producenter, processorer og producenter og markeder og restauranter. Cyberkriminelle trusselsaktører udnytter netværkssårbarheder til at eksfiltrere data og kryptere systemer i en sektor, der i stigende grad er afhængig af smarte teknologier, industriel kontrol systemer og internetbaserede automatiseringssystemer, “sagde FBI.
“Mad- og landbrugsvirksomheder, der er udsat for ransomware, lider betydelige økonomiske tab som følge af løsepengebetalinger, tab af produktivitet og afhjælpningsomkostninger. Virksomheder kan også opleve tab af proprietære oplysninger og personligt identificerbare oplysninger og kan lide omdømme som følge af et ransomware -angreb. “
Meddelelsen angav flere angreb på fødevare- og landbrugssektoren siden november, herunder et Sodinokibi/REvil ransomware -angreb på et amerikansk bageri, angrebet på den globale kødprocessor JBS i maj, et angreb i marts 2021 på et amerikansk drikkevarevirksomhed og et angreb i januar på en amerikansk gård, der forårsagede tab på cirka 9 millioner dollars.
I november 2020 citerede FBI også et angreb på en amerikansk international fødevare- og landbrugsvirksomhed, der blev ramt med en efterspørgsel på 40 millioner dollar fra OnePercent Group. Virksomheden var i stand til at komme sig efter sikkerhedskopier og betalte ikke løsesummen.
Sikkerhed
Når din VPN er et spørgsmål om liv eller død, skal du ikke stole på anmeldelser Ransomware bander klager over, at andre skurke stjæler deres løsesum Bandwidth CEO bekræfter afbrydelser forårsaget af DDoS-angreb Disse systemer står over for milliarder af angreb hver måned, da hackere forsøger at gætte adgangskoder Sådan får du et bedst betalende job inden for cybersikkerhed Cybersecurity 101: Beskyt dit privatliv mod hackere , spioner, regeringen
Relaterede emner:
Datahåndtering Sikkerhed TV CXO datacentre 