CISA, FBI och NSA involverade officiellt BlackMatter -ransomware -gruppen i de senaste attackerna mot två jordbruksföretag, vilket bekräftade bedömningarna av vissa säkerhetsforskare som sa att gänget låg bakom incidenter som involverade New Cooperative och Crystal Valley i september.
New Cooperative-en Iowa-baserad leverantör av lantbrukstjänster-drabbades av en ransomware-attack den 20 september och BlackMatter krävde en lösen på 5,9 miljoner dollar. Crystal Valley, baserat i Minnesota, attackerades två dagar senare. Båda attackerna kom när skördarna började öka för bönderna.
I rådgivningen sade CISA, FBI och NSA att BlackMatter har riktat in sig på flera amerikanska kritiska infrastrukturenheter sedan juli. Rådgivningen ger en detaljerad undersökning av BlackMatters taktik och beskriver hur gruppen vanligtvis attackerar organisationer.
“Med hjälp av inbäddade, tidigare komprometterade referenser använder BlackMatter Lightweight Directory Access Protocol (LDAP) och Server Message Block (SMB) -protokollet för att komma åt Active Directory (AD) för att upptäcka alla värdar i nätverket,” CISA sade i den rådgivande.
“BlackMatter krypterar sedan värdarna och delade enheter på distans när de hittas. Ransomware -attacker mot kritiska infrastrukturenheter kan direkt påverka konsumenternas tillgång till kritiska infrastrukturtjänster. Därför uppmanar CISA, FBI och NSA alla organisationer, inklusive kritiska infrastrukturorganisationer, att implementera rekommendationerna i avsnittet Begränsningar i detta gemensamma råd. “
De brottsbekämpande organisationerna noterade att BlackMatter fungerar som ransomware-as-a-service och möjligen kan vara en rebrand av DarkSide, en ransomware-grupp som påstås ha stängt butik i maj efter att ha attackerat Colonial Pipeline.
De tillade att BlackMatter har krävt lösenbetalningar från $ 80 000 till $ 15 000 000 i Bitcoin och Monero.
“I synnerhet utnyttjar denna variant av BlackMatter de inbäddade referenserna och SMB -protokollet för att fjärrkryptera, från den ursprungliga komprometterade värden, alla upptäckta andelars innehåll, inklusive ADMIN $, C $, SYSVOL och NETLOGON. BlackMatter -aktörer använder en separat krypterings binär för Linux-baserade maskiner och krypterar rutinmässigt virtuella ESXi-maskiner. I stället för att kryptera säkerhetskopieringssystem torkar eller formaterar BlackMatter-aktörer säkerhetskopierade datalager och apparater “, förklarade rådgivaren.
” BlackMatter utnyttjar legitim fjärrövervaknings- och hanteringsprogramvara och fjärrskrivbordsprogramvara, ofta genom att skapa testkonton, för att upprätthålla uthållighet i offernätverk. BlackMatter försöker exfiltrera data för utpressning. BlackMatter krypterar delning på distans via SMB -protokoll och tappar en ransomware -anteckning i varje katalog. BlackMatter kan torka säkerhetskopieringssystem. “< /p>
Meddelandet listar dussintals åtgärder som organisationer bör vidta för att skydda sig mot BlackMatter, inklusive implementering av detekteringssignaturer, starka lösenord, MFA, rutinmässig patchar, nätverkssegmentering och åtkomstbegränsningar.
På grund av ökningen av ransomware -attacker på helger och helgdagar föreslog CISA organisationer att implementera tidsbaserad åtkomst för konton som är inställda på administratornivå och högre.
I september släppte FBI sitt eget meddelande som varnade företag inom livsmedels- och jordbrukssektorn för att se upp för ransomware -attacker som syftar till att störa leveranskedjor. FBI -noteringen sa att ransomware -grupper försöker “störa verksamheten, orsaka ekonomiska förluster och påverka livsmedelskedjan negativt.”
“Ransomware kan påverka företag i hela sektorn, från små gårdar till stora producenter, processorer och tillverkare, och marknader och restauranger. Cyberkriminella hotaktörer utnyttjar nätverkets sårbarheter för att exfiltrera data och kryptera system i en sektor som alltmer är beroende av smart teknik, industriell kontroll system och internetbaserade automatiseringssystem “, sa FBI.
“Livsmedels- och jordbruksföretag som utsätts för ransomware drabbas av betydande ekonomiska förluster till följd av lösenbetalningar, produktivitetsförlust och saneringskostnader. Företag kan också uppleva förlust av äganderättsinformation och personligt identifierbar information och kan drabbas av anseendeskada till följd av en ransomware -attack. “
I meddelandet anges flera attacker mot livsmedels- och jordbrukssektorn sedan november, inklusive en Sodinokibi/REvil -ransomware -attack mot ett amerikanskt bageriföretag, attacken mot den globala köttprocessorn JBS i maj, en attack i mars 2021 mot ett amerikanskt dryckesföretag och en attack i januari på en amerikansk gård som orsakade förluster på cirka 9 miljoner dollar.
I november 2020 citerade FBI också en attack mot ett amerikanskt internationellt livsmedels- och jordbruksföretag som drabbades av en efterfrågan på 40 miljoner dollar från OnePercent Group. Företaget kunde återhämta sig från säkerhetskopior och betalade inte lösen.
Säkerhet
När din VPN är en fråga om liv eller död, lita inte på recensioner Ransomware gäng klagar på att andra skurkar stjäl sina lösen. Bandbredd-vd bekräftar avbrott orsakade av DDoS-attack Dessa system möter miljarder attacker varje månad när hackare försöker gissa lösenord Hur man får ett högst betalande jobb inom cybersäkerhet Cybersäkerhet 101: Skydda din integritet från hackare , spioner, regeringen
Relaterade ämnen:
Datahantering Säkerhet TV CXO Datacenter 