Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Ulusal Güvenlik Ajansı (NSA) bugün, Blackmatter Ransomware çetesinin nasıl çalıştığına dair ayrıntılara sahip bir danışma.
Üç ajans ayrıca, örgütlerin ağdaki bu rakiplerin faaliyetini savunmasına ve bununla karşı savunmasına yardımcı olabilecek bilgiler de sağlar.
Blackmatter Ransomware-A.-servis aktivitesi, ABD, Kanada, Avustralya ve U.K'teki işletmelere ait kurumsal ağlara ait kurumsal ağları ihlal etme hedefi ile Temmuz ayında başladı.
Gang'den bir duyuru, hastaneler, kritik altyapı, kar amacı gütmeyen, savunma endüstrisi ve devlet kuruluşları için olmadığı sürece, bu tür ağlara 100.000 $ 'a kadar erişim satın almak istediklerini gösterdi.
Blackmatter, ABD'deki birden fazla kuruluştaki sistemlerden şifreleme sistemlerinden sorumludur.
CISA, FBI ve NSA'dan eklem siber güvenliği danışmanlığı, örgütlerin Blackmatter Ransomware çetesine karşı korunmasına yardımcı olabilecek Blackmatter Faaliyet ile ilgili taktikleri, teknikleri ve prosedürleri paylaşır.
İzole bir ortamda analiz edilen kötü amaçlı yazılımların bir varyantı, tehdit aktörünün, mağdurun Active Directory'deki tüm ana bilgisayarları keşfetmek için yönetici kimlik bilgilerini tehlikeye attığını göstermektedir.
Ayrıca, her bir sunucu için tüm erişilebilir ağ paylaşımlarını listeleyen Microsoft Remote Prosedür Call (MSRPC) işlevini (SRVSVC.netshareenumall) kullandı.
"Özellikle, Blackmatter'ın bu varyantı, orijinal tehlikeye giren konakçıdan uzaktan şifrelemek için gömülü kimlik bilgileri ve SMB protokolünü güçlendirir" - CISA, FBI ve NSA'dan ortak danışmanlık
Blackmatter dosya şifreleyen kötü amaçlı yazılımın ayrıca, Kaynak Yönetimi amacıyla kurumsal ortamlarda ortak olan VMware ESXI sanal sunucularını şifreleyen Linux tabanlı sistemler için bir versiyona sahiptir.
Danışma, bugün, yedekleme veri depolarını ve aletlerini şifreleyen diğer fidye yazılımı aktörlerinin aksine, çatallı çetelerini silerek veya yeniden biçimlendirdiğini uyardı.
Blackmatter Ransomware ile ilişkili tanımlanmış TTPS'ye dayanarak, üç ajans, bir uzaktan şifreleme işlemi başlatıldığında uyarabilecek açık kaynaklı Snort ağ giriş tespiti ve önleme sistemi için imzalar yarattı.
Saldırı Algılama Sistemi Kuralı:
Inline Indruse Önleme Sistemi Kuralı:
Blackmatter fidye yazılımı saldırılarına, CISA'ya, FBI'ye ve NSA'ya karşı koymak için, temel şifre hijyeninden başlayan ve Active Directory saldırı yüzeyini en aza indirmek için tasarlanan azaltmaya gidin.
Yukarıdaki Snort imzalarını kullanmanın yanı sıra, ajanslar yönetici, servis ve etki alanı yöneticileri gibi çeşitli hesaplar için güçlü, benzersiz şifreler kullanmanızı önerir.
Özelliği destekleyen tüm hizmetler için çok faktörlü kimlik doğrulama etkin olmalıdır. Bu gereksinim, özellikle WebMail, sanal özel ağlar ve kritik sistemlere erişen hesaplar için önemlidir.
Güvenlik Yamalarını Takma Zamanında Kalan "En verimli ve uygun maliyetli adımlardan biri, bir kuruluşun siber güvenlik tehditlerine maruz kalmasını en aza indirgemek için alabileceği".
Danışmandaki ek azaltma önerileri aşağıdakileri ifade eder:
Kritik altyapı organizasyonları, CISA, FBI ve NSA, önceliklendirilmesi gereken özel bir ek azaltıcı seti yayınladı:
Blackmatter, bugün en üst fidyeware tehditleri arasında. Mayıs ayında sömürge boru hattına yapılan rezil saldırılardan sonra kapanan Darkside Ransomware çetesinden ortaya çıktı.
Tehdit aktör, şifreleme aşamasından önce mağdurlarından veri çalar ve fidye almadıkça dosyaları sızıntı sitelerinde yayınlar.
Şu anda, site onların, birçoğunun ABD'ye dayanan fidye ödemeyen çeşitli endüstri sektörlerinden (giyim, içecek, yazılım, yatırım, teknoloji) mağdurları listeler.
Son zamanlarda, çete, İşletme Yazılımı Çözümleri Sağlayıcı Marketron, ABD Çiftçiler Kooperatifi Yeni Kooperatif ve Teknoloji Dev Olympus'u ihlal etti.
FBI, CISA ve NSA, Yükselen Conti Ransomware saldırılarını uyardı
ABD Çiftçi Kooperatifi 5,9 milyon dolarlık Blackmatter Ransomware saldırısı
FBI, CISA: Ransomware saldırı riski tatillerde artar, hafta sonları
ABD Hükümeti, su bitkilerine daha fazla fidye yazılımı saldırısı açıklar.
Ukrayna'da yüzlerce saldırının arkasındaki fidye yazılımı operatörleri tutuklandı
Kaynak: Bleeping Computer