CISA, de FBI en NSA hebben de BlackMatter-ransomwaregroep officieel betrokken bij de recente aanvallen op twee landbouwbedrijven, wat de beoordelingen bevestigt van enkele beveiligingsonderzoekers die zeiden dat de bende achter incidenten met New Cooperative en Crystal Valley in september zat.
New Cooperative — een in Iowa gevestigde boerderijserviceprovider — werd op 20 september getroffen door een ransomware-aanval en BlackMatter eiste een losgeld van $ 5,9 miljoen. Crystal Valley, gevestigd in Minnesota, werd twee dagen later aangevallen. Beide aanvallen kwamen toen de oogsten voor boeren begonnen op te voeren.
In het advies zeiden CISA, de FBI en de NSA dat BlackMatter zich sinds juli op meerdere Amerikaanse kritieke infrastructuur-entiteiten heeft gericht. Het advies geeft een gedetailleerd onderzoek van de tactieken van BlackMatter en schetst hoe de groep doorgaans organisaties aanvalt.
“Met behulp van ingebedde, eerder gecompromitteerde inloggegevens, maakt BlackMatter gebruik van het Lightweight Directory Access Protocol (LDAP) en Server Message Block (SMB)-protocol om toegang te krijgen tot Active Directory (AD) om alle hosts op het netwerk te ontdekken.” CISA zei in het advies.
“BlackMatter versleutelt vervolgens op afstand de hosts en gedeelde schijven wanneer ze worden gevonden. Ransomware-aanvallen op kritieke infrastructuurentiteiten kunnen rechtstreeks van invloed zijn op de toegang van consumenten tot kritieke infrastructuurdiensten; daarom dringen CISA, de FBI en NSA er bij alle organisaties, inclusief kritieke infrastructuurorganisaties, op aan om implementeer de aanbevelingen die worden vermeld in het gedeelte Beperkingen van dit gezamenlijke advies.”
De wetshandhavingsorganisaties merkten op dat BlackMatter werkt als ransomware-as-a-service en mogelijk een rebranding is van DarkSide, een ransomware-groep die naar verluidt de winkel in mei gesloten na een aanval op de koloniale pijpleiding.
Ze voegden eraan toe dat BlackMatter losgeld heeft geëist van $ 80.000 tot $ 15.000.000 in Bitcoin en Monero.
“Deze variant van BlackMatter maakt met name gebruik van de ingebedde inloggegevens en het SMB-protocol om op afstand, vanaf de oorspronkelijke gecompromitteerde host, alle ontdekte inhoud van gedeelde bestanden, inclusief ADMIN$, C$, SYSVOL en NETLOGON, te versleutelen. BlackMatter-acteurs gebruiken een afzonderlijk encryptie-binary voor Op Linux gebaseerde machines en versleutelen routinematig ESXi virtuele machines. In plaats van back-upsystemen te versleutelen, wissen of formatteren BlackMatter-actoren back-upgegevensopslag en -apparatuur', legt het advies uit.
“BlackMatter maakt gebruik van legitieme bewakings- en beheersoftware op afstand en externe desktopsoftware, vaak door het opzetten van proefaccounts, om de persistentie op slachtoffernetwerken te behouden. BlackMatter probeert gegevens te exfiltreren voor afpersing. BlackMatter versleutelt op afstand gedeelde bestanden via het SMB-protocol en plaatst een ransomware-notitie in elke map. BlackMatter kan back-upsystemen wissen. “< /p>
De kennisgeving somt tientallen maatregelen op die organisaties moeten nemen om zichzelf te beschermen tegen BlackMatter, waaronder de implementatie van detectiehandtekeningen, sterke wachtwoorden, MFA, routinematige patching, netwerksegmentatie en toegangsbeperkingen.
Vanwege de toename van ransomware-aanvallen in het weekend en op feestdagen stelde CISA voor dat organisaties op tijd gebaseerde toegang implementeren voor accounts die zijn ingesteld op beheerdersniveau en hoger.
In september bracht de FBI haar eigen waarschuwing uit voor bedrijven in de voedsel- en landbouwsector om op te letten voor ransomware-aanvallen die erop gericht zijn de toeleveringsketens te verstoren. De FBI-nota zei dat ransomware-groepen proberen “operaties te verstoren, financiële verliezen te veroorzaken en een negatieve invloed te hebben op de voedselvoorzieningsketen”.
“Ransomware kan van invloed zijn op bedrijven in de hele sector, van kleine boerderijen tot grote producenten, verwerkers en fabrikanten, en markten en restaurants. Cybercriminele bedreigingsactoren maken misbruik van netwerkkwetsbaarheden om gegevens te exfiltreren en systemen te versleutelen in een sector die in toenemende mate afhankelijk is van slimme technologieën, industriële controle systemen en op internet gebaseerde automatiseringssystemen”, aldus de FBI.
“Voedsel- en landbouwbedrijven die het slachtoffer zijn van ransomware lijden aanzienlijke financiële verliezen als gevolg van losgeld, productiviteitsverlies en herstelkosten. Bedrijven kunnen ook te maken krijgen met het verlies van bedrijfseigen informatie en persoonlijk identificeerbare informatie en kunnen reputatieschade oplopen als gevolg van een ransomware-aanval.”
Het bericht vermeldde meerdere aanvallen op de voedsel- en landbouwsector sinds november, waaronder een Sodinokibi/REvil ransomware-aanval op een Amerikaans bakkerijbedrijf, de aanval op de wereldwijde vleesverwerker JBS in mei, een aanval in maart 2021 op een Amerikaans drankenbedrijf en een aanval in januari. op een Amerikaanse boerderij die een verlies van ongeveer $ 9 miljoen veroorzaakte.
In november 2020 noemde de FBI ook een aanval op een in de VS gevestigd internationaal voedsel- en landbouwbedrijf dat werd getroffen door een losgeldeis van $ 40 miljoen van de OnePercent Group. Het bedrijf kon back-ups herstellen en betaalde het losgeld niet.
Beveiliging
Wanneer uw VPN een kwestie van leven of dood is, vertrouw dan niet op beoordelingen Ransomware bendes klagen dat andere criminelen hun losgeld stelen Bandbreedte CEO bevestigt uitval veroorzaakt door DDoS-aanval Deze systemen worden elke maand geconfronteerd met miljarden aanvallen terwijl hackers wachtwoorden proberen te raden Een goedbetaalde baan in cybersecurity krijgen Cybersecurity 101: bescherm uw privacy tegen hackers , spionnen, de overheid
gerelateerde onderwerpen:
gegevensbeheer Beveiliging TV CXO-datacenters 