BlackByte 勒索软件入侵美国政府、金融等关键基础设施部门

美国联邦调查局（FBI） 与美国特勤局发布了一份联合网络安全咨询报告，该报告显示，BlackByte 勒索软件团伙已经入侵了至少三个来自美国关键基础设施领域的部门。

这项联合网络安全咨询由联邦调查局 (FBI) 和美国特勤局 (USSS) 开发，旨在提供有关 BlackByte勒索软件的信息。截至2021年11月，BlackByte 勒索软件已经危害了美国和外国企业，包括至少三个美国关键基础设施部门（政府设施、金融以及食品和农业）的实体。BlackByte 是一个勒索软件即服务 (RaaS) 组，它加密受感染的 Windows 主机系统上的文件，包括物理和虚拟服务器。

BlackByte勒索软件操作自2021年9月以来一直活跃，2021年10月，来自Trustwave的 SpiderLabs的研究人员发布了一个解密器 ，可以让BlackByte勒索软件早期版本的受害者免费恢复他们的文件。

政府专家报告说，该团伙利用已知的 Microsoft Exchange Server 漏洞来访问某些受害者的网络，一旦获得对网络的访问权限，威胁参与者就会部署工具来执行横向移动并提升权限，然后再窃取和加密文件。

该公告包括 BlackByte 勒索软件操作的危害指标 (IOC)，可以让防御者检测到威胁。该报告包括在受感染的 Microsoft Internet 信息服务 (IIS) 服务器上发现的可疑 ASPX 文件的 MD5 哈希值，以及研究人员观察到的勒索软件操作员使用的命令列表。

缓解措施：

• 对所有数据进行定期备份，以离线存储为气隙、密码保护的副本。确保无法从原始数据所在的任何系统访问这些副本以进行修改或删除。
• 实施网络分段，这样您网络上的所有机器都不能从其他机器访问。 
• 在所有主机上安装并定期更新杀毒软件，并启用实时检测。
• 更新/补丁发布后立即安装更新/补丁操作系统、软件和固件。
• 查看域控制器、服务器、工作站和活动目录中是否有新的或无法识别的用户帐户。
• 审核具有管理权限的用户帐户，并以最低权限配置访问控制。不要授予所有用户管理权限。
• 禁用未使用的远程访问/远程桌面协议 (RDP) 端口并监控远程访问/RDP 日志以发现任何异常活动。
• 考虑为从组织外部收到的电子邮件添加电子邮件横幅。
• 禁用收到的电子邮件中的超链接。
• 登录帐户或服务时使用双重身份验证。
• 确保对所有账户进行例行审计。
• 确保将所有已识别的 IOC 输入到网络 SIEM 中以进行持续监控和警报。

   最近，旧金山49人队NFL橄榄球球队成为了 BlackByte 勒索软件攻击的受害者，该消息由 The Record报道。勒索软件团伙将该团队添加到其暗网泄密网站上的受害者名单之后，该团队披露了这次攻击。

   该团队告诉 The Record，已经立即对这次攻击事件展开调查，并在第三方网络安全公司的帮助下采取措施遏制该事件，并通知了执法部门。