BOSTON (PRWEB)
November 23, 2022
Cybereason, XDR-selskapet, utstedte i dag et globalt trusselvarsel rådgivende advarer amerikanske selskaper om en potensielt utbredt ransomware-kampanje drevet av Black Basta ransomware-gjengen. Organisasjoner bør være spesielt på vakt for ransomware-angrep i løpet av de kommende høytidene, som en nylig cybereason studere viser at angrep er vanlige over helligdager fordi organisasjoner generelt er underbemannet og dårlig forberedt på dem.
Black Basta-gjengen dukket opp i april 2022 og har utsatt hundrevis av selskaper i USA, Storbritannia, Australia, New Zealand og Canada. Organisasjoner i engelsktalende land ser ut til å være mål. Cybereason vurderer at trusselnivået for løsepengevareangrep mot globale organisasjoner i dag er HØYT.
"Du kan ikke betale deg ut av løsepengevare. Med mindre en organisasjon er i en situasjon på liv og død, anbefaler vi ikke å betale løsepenger fordi du bare gir næring til den spirende løsepengevareøkonomien. Med sin virksomhet under øynene til tidligere REvil- og Conti-ransomware-gjengmedlemmer, drives Black Basta profesjonelt med godt trente og dyktige trusselaktører. De fortsetter å bruke den doble utpressingsordningen med først å bryte en organisasjon og eksfiltrere sensitive data før de dropper løsepengevare-nyttelasten og truer med å publisere stjålne data med mindre løsepenger betales," sa Lior Div, Cybereason-sjef og medgründer.
Hovedfunnene
- Trusselaktøren beveger seg ekstremt raskt: I de forskjellige tilfellene av kompromiss Cybereason identifiserte, fikk trusselaktøren domeneadministratorrettigheter på mindre enn to timer og gikk over til utplassering av løsepengevare på mindre enn 12 timer.
- Trusselnivået er HØYT: Cybereasons GSOC vurderer trusselnivået som HØYGT gitt den potensielt utbredte kampanjen som drives av Black Basta.
- Utbredt QBot-kampanje rettet mot USA-baserte selskaper: Trusselaktører som utnyttet QBot-lasteren satte et stort nett mot hovedsakelig USA-baserte selskaper og handlet raskt på alle spyd-phishing-ofre de kompromitterte. I løpet av de siste to ukene har Cybereason observert mer enn 10 forskjellige kunder berørt av denne nylige kampanjen.
- Nettverkssperring: Blant de mange Qakbot-infeksjonene Cybereason identifiserte, tillot to trusselaktøren å distribuere løsepengevare og deretter låse offeret ute av nettverket ved å deaktivere offerets DNS-tjeneste, noe som gjorde gjenopprettingen enda mer kompleks.
- Black Basta-distribusjon: Et spesielt raskt kompromiss Cybereason observerte førte til distribusjon av Black Basta løsepengeprogramvare. Dette tillot Cybereason-forskere å knytte en kobling mellom trusselaktører som utnytter Qakbot- og Black Basta-operatører.
Ransomware-angrep kan stoppes. Cybereason tilbyr følgende anbefalinger til organisasjoner for å redusere risikoen deres:
- Utøv god sikkerhetshygiene: Implementer for eksempel et sikkerhetsbevissthetsprogram for ansatte og sørg for at operativsystemer og annen programvare jevnlig oppdateres og lappes.
- Bekreft at nøkkelspillere kan nås når som helst på dagen: Kritiske reaksjonshandlinger kan bli forsinket når angrep skjer over helligdager og helger.
- Gjennomfør periodiske øvelser og øvelser: Inkluder nøkkelinteressenter fra andre funksjoner utenfor sikkerhet, som juridiske, menneskelige ressurser, IT og toppledere, slik at alle kjenner sine roller og ansvar for å sikre en så jevn respons som mulig.
- Implementer klare isoleringspraksis: Dette vil stoppe ytterligere inntrenging på nettverket og forhindre at løsepengeprogramvare sprer seg til andre enheter. Sikkerhetsteam bør være dyktige på ting som å koble fra en vert, låse en kompromittert konto og blokkere et ondsinnet domene.
- Vurder å låse kritiske kontoer når det er mulig: Veien angripere ofte tar for å spre løsepengevare på tvers av et nettverk, er å eskalere privilegier til administratordomenenivået og deretter distribuere løsepengevaren. Lag bør opprette svært sikrede, kun nødsituasjonskontoer i den aktive katalogen som bare brukes når andre driftskontoer er midlertidig deaktivert som en forholdsregel eller utilgjengelige under et løsepengeprogram.
- Distribuer EDR på alle endepunkter: Endpoint detection and response (EDR) er fortsatt den raskeste måten for bedrifter i offentlig og privat sektor å ta tak i løsepengevare-plagen.
Om Cybereason
Cybereason er XDR-selskapet, som samarbeider med Defenders for å avslutte angrep ved endepunktet, i skyen og på tvers av hele bedriftens økosystem. Bare den AI-drevne Cybereason Defence Platform gir datainntak i planetarisk skala, operasjonsentrisk MalOp™-deteksjon og prediktiv respons som er ubeseiret mot moderne løsepengevare og avanserte angrepsteknikker. Cybereason er et privateid internasjonalt selskap med hovedkontor i Boston med kunder i mer enn 40 land.
Lær mer: https://www.cybereason.com/
Følg oss: Blogg | Twitter | Facebook
Mediekontakt:
Bill Keeler
Seniordirektør, Global PR
Cybereason
bill.keeler@cybereason.com
+1 (929) 259-3261
Del artikkelen på sosiale medier eller e-post:
