FBI表示,截至2021年11月,BlackByte勒索软件已经侵害多家美国及国外企业,其中包括至少三个美国关键基础设施实体;
其重要手段是利用软件漏洞(如Exchange)获取目标企业网络的初始访问权限。尽早更新服务器软件有望阻遏他们的攻势。
美国联邦调查局(FBI)透露,勒索软件团伙BlackByte在过去三个月中至少对三个美国本土关键基础设施部门的组织网络实施过入侵。
这一消息披露自FBI与美国特勤局2月11日共同发布的联合网络安全咨询报告。
作为联邦政府级别的执法机构,FBI表示,“截至2021年11月,BlackByte勒索软件已经侵害多家美国及国外企业,其中包括至少三个美国关键基础设施实体(分别涉及政府设施、金融以及食品与农业领域)。”
“BlackByte是一个勒索软件即服务(RaaS)团伙,主要攻击手段是对受感染Windows主机系统上的文件实施加密锁定,包括物理与虚拟服务器。”
这份报告的重点,是为组织提供可用于检测及抵御BlackByte攻击活动的威胁指标(IOC)。例如在受感染微软IIS服务器上发现的可疑ASPX文件的MD5哈希值,以及勒索软件操纵者在攻击期间使用的命令列表。
受害者包括旧金山49人队
2月13日,美国职业橄榄球联盟(NFL)的旧金山49人队表示,他们正努力从BlackByte勒索软件的攻击中恢复正常。
BlackByte团伙承认发动了这次攻击,并表示在攻击期间成功从这支橄榄球队的服务器上窃取到数据,并已经把近300 MB的文件泄露在了数据泄露博客之上。
旧金山49人队在写给媒体的一份声明中证实了勒索软件攻击的存在,但强调攻击只是暂时中断了部分IT网络。
BlackByte勒索软件团伙至少从2021年7月起一直保持活跃,而且攻击矛头指向全球各地的企业受害者。
该团伙的招牌手段是利用软件漏洞(包括Microsoft Exchange Server漏洞)夺取对目标企业网络的初始访问权限。从这个角度看,尽早更新服务器软件有望阻遏他们的攻势。
2021年10月,安全厂商Trustwave创建并发布了免费的BlackByte解密器。这意味着该勒索软件团伙在多次攻击中反复使用相同的加密/解密密钥之后,一些受害者终于可以免费恢复自己的文件。