ACM通信
BlackByte勒索软件攻击关键的基础设施,旧金山49人队
BlackByte勒索软件使用像Cobalt Strike这样的笔测试工具来促进横向移动和管理被攻击破坏的主机系统。
图片来源:Wachirawit Jenlohakit/Getty Images
根据雅虎新闻,BlackByte Ransomware-as-a-Service集团该组织于2022年2月13日,也就是超级碗比赛当天,侵入了旧金山49人队,而就在两天前,美国联邦调查局(FBI)和特勤局宣布该组织已经侵入了美国的关键基础设施。
截至2021年11月21日,BlackByte勒索软件已经侵入了至少三个美国关键基础设施部门,包括政府设施、金融和食品和农业联邦调查局和特勤局的联合网络安全顾问表示.的ransomware违反了网络此外,根据2月11日发布的这份咨询报告,多家美国和外国企业也有类似情况。
48小时后,在第六届超级碗比赛当天,BlackByte勒索软件即服务组织黑客攻击进入了旧金山49人橄榄球队的服务器,据多家新闻报道加密并将其数据作为赎金。49人队没有参加今年的超级碗。
剖析BlackByte勒索软件攻击。
BlackByte勒索软件即服务攻击和妥协微软视窗系统物理和虚拟服务器主机中列出的微软活动目录并加密主机上的文件。
每一个Ransomware攻击从一个网络入口开始,一个可以获利的地方未授权的网络访问,例如可通过互联网访问的易受攻击的软件。它提升账户权限而且横向移动内部东西方网络流量以获取敏感数据。
根据马特·赫尔战略威胁情报全球主管NCC集团的董事BlackByte Ransomware是一家全球网络安全服务公司SonicWall VPN,ProxyShell,远程访问系统,通过钓鱼式攻击,以及通过微软交换服务器漏洞。据赫尔说,攻击使用标准的工具,如钴笔测试工具和AnyDesk远程桌面访问工具。
BlackByte开始命令解释程序在目标网络上的Microsoft Exchange服务器上蒂莫西·j·Shimeall的卡内基梅隆大学计算机紧急响应小组(CERT).每个命令启动一个辅助解释器,运行一个恶意命令(一组恶意指令),然后终止。Shimeall解释说:“辅助解释器的运行使恶意代码更加健壮,更难以追踪。”
BlackByte通过假定系统权限的流程它的妥协。根据Shimeall的说法,BlackByte通过在Microsoft Exchange服务器上运行它的命令解释器和恶意命令来获得系统特权,这会破坏Exchange进程,因此BlackByte可以篡夺该进程的系统特权的权限。
一旦BlackByte勒索软件攻击进入网络,它就开始在网络内部横向移动。根据约翰。福克他是一家网络安全公司的网络调查主管Trellix,BlackByte勒索软件使用像Cobalt Strike这样的笔测试工具来促进横向移动和管理被攻击破坏的主机系统(计算机)。
BlackByte使用Microsoft Active Directory创建一个要攻击的主机列表。“BlackByte恶意软件运行一系列活动目录查询枚举(列出)本地网络上的计算机,并将结果存档到本地文件中。然后它尝试启动命令shell在那些机器上,要么通过剥削共同账户或者通过漏洞系统服务”,Shimeall说。
根据一项网络分析, BlackByte蠕虫病毒的能力传播勒索软件功能如下:BlackByte将自己复制到远程主机共享路径,在每台机器上复制自己。一旦obamka.js BlackByte勒索软件文件到达主机,攻击就会调度一个任务,在主机上运行勒索软件,对主机的文件进行加密。
BlackByte加密主机上的数据,使用SMB和AES加密在每一个目录根据赫尔的说法,它在那里对数据进行了编码。赎金的内容包括.onion网站附有支付赎金和访问的相关说明解密密钥,”赫尔说。
49队,关键基础设施攻击
“BlackByte勒索软件对49人队的攻击很可能是高度针对性的,”赫尔说。他解释说,袭击者选择了49人队,并指定了时间点,以加剧足球组织的紧迫感,刺激赎金支付年代。
据雅虎新闻报道,49人队证实了这一事件,并表示他们认为这种泄露仅限于公司网络。49人队没有证实他们是否支付了赎金。
对关键基础设施的攻击比对运动队的攻击具有更深远的影响。根据赫尔的说法,通过加密关键的基础设施系统,BlackByte勒索软件攻击肯定会造成业务中断以及目标组织的经济损失。“根据目标国家关键基础设施(CNI)的性质,勒索软件可以在经济和物流上影响该地区的其他地区,就像该病毒的情况一样殖民管道攻击在美国,天然气价格大幅上涨,”赫尔说。
FBI和特勤局的顾问没有透露BlackByte勒索软件感染的具体关键基础设施实体。
大卫·吉尔是一名专注于网络安全相关问题的记者。他从美国俄亥俄州克利夫兰写信。
没有发现记录