BOSTON (PRWEB)
November 23, 2022
Cyberason, XDR-företaget, utfärdade idag en global hotvarning rådgivande varnar amerikanska företag för en potentiellt utbredd ransomware-kampanj som drivs av Black Basta ransomware-gänget. Organisationer bör vara särskilt uppmärksamma på ransomware-attacker under de kommande helgdagarna, som en nyligen cyberason studera visar att attacker är vanliga under helgdagar eftersom organisationer i allmänhet är underbemannade och dåligt förberedda på dem.
Black Basta-gänget dök upp i april 2022 och har utsatt hundratals företag i USA, Storbritannien, Australien, Nya Zeeland och Kanada. Organisationer i engelsktalande länder verkar vara måltavlor. Cybereason bedömer att hotnivån för ransomware-attacker mot globala organisationer idag är HÖG.
"Du kan inte betala dig ut med ransomware. Såvida inte en organisation befinner sig i en situation på liv och död, rekommenderar vi inte att du betalar lösensumman eftersom du bara underblåser den spirande ekonomin för ransomware. Med sin verksamhet under ögonen på tidigare REvil och Conti ransomware-gängmedlemmar, drivs Black Basta professionellt med välutbildade och skickliga hotaktörer. De fortsätter att använda det dubbla utpressningsschemat att först göra intrång i en organisation och exfiltrera känslig data innan de släpper lösenprogramvaran och hotar att publicera stulen data såvida inte en lösensumma betalas”, säger Lior Div, Cybereason VD och medgrundare.
Viktiga resultat
- Hotaktören rör sig extremt snabbt: I de olika fallen av kompromiss som Cybereason identifierat, fick hotaktören domänadministratörsprivilegier på mindre än två timmar och flyttade till utplacering av ransomware på mindre än 12 timmar.
- Hotnivån är HÖG: Cybereasons GSOC bedömer hotnivån som HÖG med tanke på den potentiellt utbredda kampanjen som drivs av Black Basta.
- Utbredd QBot-kampanj riktad mot USA-baserade företag: Hotaktörer som utnyttjade QBot-lastaren gav ett stort nät som riktade sig till främst USA-baserade företag och agerade snabbt mot alla offer för spjutfiske som de äventyrade. Under de senaste två veckorna har Cybereason observerat mer än 10 olika kunder som påverkats av den här senaste kampanjen.
- Nätverkslåsning: Bland de många Qakbot-infektioner som Cybereason identifierade, tillät två hotaktören att distribuera ransomware och sedan låsa offret utanför sitt nätverk genom att inaktivera offrets DNS-tjänst, vilket gjorde återställningen ännu mer komplex.
- Black Basta-distribution: En särskilt snabb kompromiss Cybereason observerade ledde till distributionen av Black Basta ransomware. Detta gjorde det möjligt för Cybereason-forskare att knyta en koppling mellan hotaktörer som utnyttjade Qakbot och Black Basta-operatörer.
Ransomware-attacker kan stoppas. Cybereason erbjuder följande rekommendationer till organisationer för att minska deras risker:
- Utöva god säkerhetshygien: Till exempel implementera ett säkerhetsmedvetandeprogram för anställda och se till att operativsystem och annan mjukvara regelbundet uppdateras och korrigeras.
- Bekräfta att nyckelspelare kan nås när som helst på dygnet: Kritiska svarsåtgärder kan försenas när attacker inträffar under helgdagar och helger.
- Genomför periodiska övningar och övningar: Inkludera nyckelintressenter från andra funktioner utanför säkerheten, såsom juridik, personal, IT och högsta chefer, så att alla känner till sina roller och sitt ansvar för att säkerställa ett så smidigt svar som möjligt.
- Implementera tydliga isoleringsmetoder: Detta kommer att stoppa ytterligare intrång i nätverket och förhindra att ransomware sprids till andra enheter. Säkerhetsteam bör vara skickliga på saker som att koppla bort en värd, låsa ett inträngt konto och blockera en skadlig domän.
- Överväg att låsa kritiska konton när det är möjligt: Vägen som angripare ofta tar för att sprida ransomware över ett nätverk är att eskalera privilegier till administratörsdomännivå och sedan distribuera ransomware. Team bör skapa mycket säkra konton som endast är nödsituationer i den aktiva katalogen som endast används när andra operativa konton är tillfälligt inaktiverade som en försiktighetsåtgärd eller oåtkomliga under en attack med ransomware.
- Implementera EDR på alla endpoints: Endpoint detection and response (EDR) är fortfarande det snabbaste sättet för företag i den offentliga och privata sektorn att ta itu med ransomware gissel.
Om Cybereason
Cybereason är XDR-företaget, som samarbetar med Defenders för att avsluta attacker vid slutpunkten, i molnet och över hela företagets ekosystem. Endast den AI-drivna Cybereason Defence Platform ger dataintag i planetarisk skala, operationscentrerad MalOp™-detektering och prediktiv respons som är obesegrad mot modern ransomware och avancerade attacktekniker. Cybereason är ett privatägt internationellt företag med huvudkontor i Boston med kunder i mer än 40 länder.
Läs mer: https://www.cybereason.com/
Följ oss: Blogg | Twitter | Facebook
Presskontakt:
Bill Keeler
Senior Director, Global PR
Cyberason
bill.keeler@cybereason.com
+1 (929) 259-3261
Dela artikeln om sociala medier eller e-post:
