AccueilsécuritéLe FBI, la CISA et la NSA émettent des conseils sur les attaques de ransomware BlackMatter

Le FBI, la CISA et la NSA émettent des conseils sur les attaques de ransomware BlackMatter

L'agence Cybersécurité et sécurité des infrastructures (CISA), le Federal Bureau of Investigation (FBI) et le National Security Agency (NSA), publié conseil sur le fonctionnement du gang de ransomware BlackMatter.

ransomware BlackMatter

Voir également: Marketron : Le ransomware BlackMatter ciblait le fournisseur de logiciels

Les trois services fournissent également des informations qui peuvent aider les organisations à faire face à l'activité de cet adversaire dangereux et à se défendre.

BlackMatter ransomware-as-a-service lancé en juillet avec l'objectif clair de violation de l'entreprise réseaux détenue par des sociétés aux États-Unis, au Canada, en Australie et au Royaume-Uni et a jusqu'à présent un chiffre d'affaires d'au moins 100 millions de dollars.

Le gang lui-même a toutefois déclaré qu'il n'attaque pas les hôpitaux, les infrastructures critiques, les organisations à but non lucratif, les industries de la défense et les organisations gouvernementales.

BlackMatter est responsable du cryptage des systèmes dans de nombreuses organisations aux États-Unis et demande une rançon pouvant aller jusqu'à 15 millions de dollars en crypto-monnaie.

Les conseils de cybersécurité publiés par la CISA, le FBI et la NSA décrivent les tactiques, techniques et procédures liées à BlackMatter qui pourraient aider les organisations à se protéger contre les ransomwares.

Une variante de malware analysée dans un environnement isolé montre que le porteur de la menace a utilisé les informations d'identification de l'administrateur pour détecter tous les serveurs de l'Active Directory de la victime.

Il utilisait également la fonction Microsoft Remote Procedure Call (MSRPC) (srvsvc.NetShareEnumAll) qui permettait d'enregistrer toutes les notifications réseau accessibles pour chaque hôte.

Le logiciel de cryptage de fichiers BlackMatter a également une version pour les systèmes basés sur Linux qui peut crypter les serveurs virtuels VMware ESXi qui sont courants dans les environnements d'entreprise à des fins de gestion des ressources.

Voir également: BlackMatter ransomware : demande 5.9 millions à la coopérative agricole

ransomware BlackMatter

Contrairement aux autres opérateurs de ransomware qui chiffrent les magasins de données de sauvegarde et les appareils, le gang BlackMatter les supprime ou les réinitialise.

Sur la base des TTP reconnus associés au ransomware BlackMatter, les trois services ont créé des signatures pour le système de détection et de prévention des intrusions sur le réseau Snort, qui peut alerter l'utilisateur lorsqu'un processus de cryptage à distance est lancé.

En plus d'utiliser les signatures Snort ci-dessus, les entreprises recommandent l'utilisation de mots de passe forts et uniques pour divers comptes, tels que les administrateurs, les services et les administrateurs de domaine.

  • L'authentification multifacteur doit être activée pour tous les services prenant en charge la fonction.
  • L'installation rapide de correctifs de sécurité reste « l'une des mesures les plus efficaces et les plus rentables qu'une organisation puisse prendre pour minimiser son exposition aux menaces de cybersécurité ».
  • Restriction d'accès aux ressources via le réseau aux services et comptes d'utilisateurs nécessaires.
  • Segmentation et surveillance du réseau, pour empêcher la visibilité et la cartographie des réseaux tiers et pour détecter toute activité inhabituelle.
  • Accès temporaire pour les comptes disposant de droits d'administrateur et supérieurs, pour une durée limitée, nécessaire à la réalisation d'une tâche.
  • Désactivez les activités de ligne de commande, les scripts et les autorisations pour empêcher l'escalade des privilèges et le trafic réseau latéral.
  • Effectuez des sauvegardes hors ligne chiffrées et inchangées.

Pour les agences d'infrastructures critiques, la CISA, le FBI et la NSA ont publié un ensemble spécifique de directives complémentaires pour prioriser :

  • Désactiver le stockage des codes de texte brut en mémoire LSASS.
  • Pensez à l'éteindre ou à le restreindre Responsable de Zone Nouvelles Technologies (NTLM) et authentification WDigest.
  • Application Credential Guard pour Windows 10 Server 2016. Pour Windows Server 2012R2, activez-le Lumière de processus protégée pour l'autorité de sécurité locale (LSA).
CISA du FBI

Voir également: Olympus : Le géant japonais victime du ransomware BlackMatter ?

  • Minimisez la surface d'attaque AD pour réduire les activités malveillantes. Une activité malveillante telle que « Kerberoasting » exploite le service d'octroi de tickets de Kerberos et peut être utilisée pour obtenir des informations d'identification fragmentées que les attaquants tentent de casser.

BlackMatter est l'une des principales menaces de ransomware aujourd'hui. Il vient du gang des ransomwares Côté obscur, qui a fermé après la tristement célèbre attaque contre Pipeline Colonial en mai.

Absent Miahttps://www.secnews.gr
Être soi-même, dans un monde qui essaie constamment de vous changer, est votre plus grande réussite
spot_img

NOUVELLES EN DIRECT