Cybereason AVVERTE le aziende statunitensi sulla nuova minaccia ransomware da Black ...

BOSTON (PRWEB)
23 Novembre 2022

Cybereason, la società XDR, ha emesso oggi un avviso di minaccia globale consultivo avvertendo le aziende statunitensi di una campagna di ransomware potenzialmente diffusa gestita dalla banda di ransomware Black Basta. Le organizzazioni dovrebbero essere particolarmente in allerta per gli attacchi ransomware durante le prossime festività, come recentemente sottolineato da Cybereason studio mostra che gli attacchi sono comuni durante i giorni festivi perché le organizzazioni sono generalmente a corto di personale e impreparate ad affrontarli.

La banda Black Basta è emersa nell'aprile 2022 e ha vittima di centinaia di aziende negli Stati Uniti, nel Regno Unito, in Australia, Nuova Zelanda e Canada. Le organizzazioni nei paesi di lingua inglese sembrano essere obiettivi. Cybereason valuta ALTO il livello di minaccia degli attacchi ransomware contro le organizzazioni globali oggi.

“Non è possibile uscire dal ransomware pagando. A meno che un'organizzazione non si trovi in ​​una situazione di vita o di morte, non consigliamo di pagare il riscatto perché stai solo alimentando la fiorente economia del ransomware. Con le sue operazioni sotto gli occhi degli ex membri delle bande di ransomware REvil e Conti, Black Basta è gestito professionalmente da attori di minacce ben addestrati e qualificati. Continuano a utilizzare il doppio schema di estorsione, violando prima un’organizzazione ed esfiltrando dati sensibili prima di rilasciare il carico utile del ransomware e minacciare di pubblicare i dati rubati a meno che non venga pagato un riscatto”, ha affermato Lior Div, CEO e co-fondatore di Cybereason.

Risultati chiave

• L'autore della minaccia si muove in modo estremamente rapido: nei diversi casi di compromissione identificati da Cybereason, l'autore della minaccia ha ottenuto i privilegi di amministratore di dominio in meno di due ore ed è passato alla distribuzione del ransomware in meno di 12 ore.
• Il livello di minaccia è ALTO: il GSOC di Cybereason valuta il livello di minaccia come ALTO data la campagna potenzialmente diffusa gestita da Black Basta.
• Diffusa campagna QBot contro aziende con sede negli Stati Uniti: gli autori delle minacce che sfruttavano il caricatore QBot hanno lanciato una vasta rete prendendo di mira principalmente aziende con sede negli Stati Uniti e hanno agito rapidamente su tutte le vittime di spear phishing che hanno compromesso. Nelle ultime due settimane, Cybereason ha osservato più di 10 diversi clienti colpiti da questa recente campagna.
• Blocco della rete: tra le numerose infezioni Qakbot identificate da Cybereason, due hanno consentito all'autore della minaccia di distribuire ransomware e quindi bloccare la vittima fuori dalla sua rete disabilitando il servizio DNS della vittima, il che ha reso il ripristino ancora più complesso.
• Distribuzione di Black Basta: un compromesso particolarmente rapido osservato da Cybereason ha portato alla distribuzione del ransomware Black Basta. Ciò ha consentito ai ricercatori di Cybereason di stabilire un collegamento tra gli autori delle minacce che sfruttano Qakbot e gli operatori Black Basta.

Gli attacchi ransomware possono essere fermati. Cybereason offre le seguenti raccomandazioni alle organizzazioni per ridurre il rischio:

• Pratica una buona igiene della sicurezza: ad esempio, implementa un programma di sensibilizzazione alla sicurezza per i dipendenti e assicurati che i sistemi operativi e altri software siano regolarmente aggiornati e dotati di patch.
• Conferma che gli attori chiave possono essere raggiunti in qualsiasi momento della giornata: le azioni di risposta critica possono essere ritardate quando si verificano attacchi durante le vacanze e i fine settimana.
• Conduci esercitazioni e esercitazioni periodiche da tavolo: includi le parti interessate chiave di altre funzioni oltre la sicurezza, come legale, risorse umane, IT e alti dirigenti, in modo che tutti conoscano i propri ruoli e responsabilità per garantire una risposta il più agevole possibile.
• Implementa chiare pratiche di isolamento: ciò interromperà qualsiasi ulteriore ingresso sulla rete e impedirà al ransomware di diffondersi ad altri dispositivi. I team di sicurezza dovrebbero essere esperti in cose come disconnettere un host, bloccare un account compromesso e bloccare un dominio dannoso.
• Prendi in considerazione la possibilità di bloccare gli account critici quando possibile: il percorso che spesso gli aggressori intraprendono per propagare il ransomware attraverso una rete è quello di aumentare i privilegi a livello di dominio amministratore e quindi distribuire il ransomware. I team dovrebbero creare account altamente protetti e solo di emergenza nella directory attiva che vengono utilizzati solo quando altri account operativi sono temporaneamente disabilitati per precauzione o inaccessibili durante un attacco ransomware.
• Distribuisci EDR su tutti gli endpoint: il rilevamento e la risposta degli endpoint (EDR) rimane il modo più rapido per le aziende del settore pubblico e privato di affrontare il flagello del ransomware.

Informazioni sulla Cybereason

Cybereason è la società XDR, che collabora con Defenders per porre fine agli attacchi all'endpoint, nel cloud e nell'intero ecosistema aziendale. Solo la piattaforma di difesa Cybereason basata sull'intelligenza artificiale fornisce l'acquisizione di dati su scala planetaria, il rilevamento MalOp™ incentrato sulle operazioni e una risposta predittiva imbattibile contro i moderni ransomware e le tecniche di attacco avanzate. Cybereason è una società internazionale privata con sede a Boston e clienti in più di 40 paesi.

Per saperne di più: https://www.cybereason.com/

Seguici su: Blog | Twitter | Facebook

Contatto per i media:

Bill Keler

Direttore senior, Relazioni pubbliche globali

Cybereason

bill.keeler@cybereason.com

+1 (929) 259-3261

Condividi l'articolo su social media o email: