Jonathan Greig er journalist baseret i New York City.
Fuld bio den 13. februar 2022 | Emne: Ransomware
Timer før Super Bowl starter, blev San Francisco 49ers føjet til listen over ofre for Blackbyte ransomware-gruppen. San Francisco 49ers var inden for et par spil fra at nå Super Bowl for to uger siden.
Holdet reagerede ikke på anmodninger om kommentarer, men bekræftede angrebet til The Record and Bleeping Computer. San Francisco 49ers dukkede op på gruppens lækageside sent lørdag aften og sagde i en erklæring, at kun virksomhedens it-netværk var berørt af angrebet.
Lovhåndhævelse er blevet kontaktet, og selskabet sagde, at det stadig er i processen at efterforske hændelsen. Angrebet kommer blot én dag efter, at FBI udgav en advarsel om BlackByte ransomware-gruppen.
“Fra november 2021 havde BlackByte ransomware kompromitteret adskillige amerikanske og udenlandske virksomheder, inklusive enheder i mindst tre amerikanske kritiske infrastruktursektorer (statsfaciliteter, finans og fødevare- og landbrug). BlackByte er en Ransomware as a Service-gruppe (RaaS) der krypterer filer på kompromitterede Windows-værtssystemer, inklusive fysiske og virtuelle servere,” sagde FBI.
“Nogle ofre rapporterede, at aktørerne brugte en kendt Microsoft Exchange Server-sårbarhed som et middel til at få adgang til deres netværk. Når de er kommet ind, implementerer aktører værktøjer til at bevæge sig sideværts på tværs af netværket og eskalere privilegier, før de eksfiltrerer og krypterer filer. I nogle tilfælde, BlackByte ransomware aktører har kun delvist krypterede filer.”
Gruppen opstod sidste år, men cybersikkerhedsvirksomheden Trustwave var i stand til at gøre en BlackByte-dekryptering tilgængelig til download på GitHub i oktober.
Forskning fra virksomheden viste, at den første version af BlackByte ransomware downloadede og udførte den samme nøgle for at kryptere filer i AES – snarere end unikke nøgler for hver session – som dem, der normalt anvendes af mere sofistikerede ransomware-operatører. En anden, mindre sårbar version af ransomware blev frigivet i november, som FBI bemærkede.
Emsisoft ransomware-ekspert Brett Callow sagde, at Blackbyte er en Ransomware-as-a-service (RaaS) operation, og at de personer, der bruger den til at udføre angreb, måske er baseret i samme land som den primære hold.
“Som flere andre typer ransomware, krypterer Blackbyte ikke computere, der bruger sprogene i Rusland og postsovjetiske lande,” sagde Callow.
En Red Canary-analyse af ransomware fundet operatører fik indledende adgang ved at udnytte ProxyShell-sårbarhederne (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) på en kundes Microsoft Exchange-server .
Sikkerhed
Flere virksomheder bruger multifaktorgodkendelse. Hackere forsøger at slå det Microsoft: Denne Mac-malware bliver smartere og farligere Sådan finder og fjerner du spyware fra din telefon Den bedste antivirussoftware og -apps: Hold din pc, telefon, tablet sikker Hvordan teknologi er et våben i moderne misbrug i hjemmet Sikkerhed