BOoston (PRweB)
Tháng Mười Một 23, 2022
Điện tử, công ty XDR, hôm nay đã đưa ra cảnh báo về mối đe dọa toàn cầu cố vấn cảnh báo các công ty Hoa Kỳ về một chiến dịch ransomware có khả năng lan rộng do băng đảng ransomware Black Basta điều hành. Các tổ chức nên cảnh giác đặc biệt cao về các cuộc tấn công ransomware trong những ngày lễ sắp tới, như một Cybereason gần đây nghiên cứu cho thấy rằng các cuộc tấn công phổ biến vào các ngày lễ vì các tổ chức thường thiếu nhân viên và không chuẩn bị sẵn sàng cho chúng.
Băng đảng Black Basta nổi lên vào tháng 2022 năm XNUMX và đã trở thành nạn nhân của hàng trăm công ty ở Hoa Kỳ, Vương quốc Anh, Úc, New Zealand và Canada. Các tổ chức ở các nước nói tiếng Anh dường như là mục tiêu. Cybereason đánh giá mức độ đe dọa của các cuộc tấn công ransomware chống lại các tổ chức toàn cầu hiện nay là CAO.
“Bạn không thể trả tiền để thoát khỏi ransomware. Trừ khi một tổ chức đang ở trong tình thế sinh tử, chúng tôi không khuyên bạn nên trả tiền chuộc vì bạn chỉ đang thúc đẩy nền kinh tế ransomware đang phát triển. Với các hoạt động dưới sự giám sát của các cựu thành viên băng đảng ransomware REvil và Conti, Black Basta đang được điều hành một cách chuyên nghiệp với các tác nhân đe dọa được đào tạo bài bản và có kỹ năng. Lior Div, Giám đốc điều hành và đồng sáng lập của Cybereason cho biết: “Chúng tiếp tục sử dụng kế hoạch tống tiền kép là lần đầu tiên vi phạm một tổ chức và đánh cắp dữ liệu nhạy cảm trước khi loại bỏ tải trọng ransomware và đe dọa công bố dữ liệu bị đánh cắp trừ khi trả tiền chuộc”.
Những phát hiện chính
- Tác nhân đe dọa di chuyển cực kỳ nhanh: Trong các trường hợp thỏa hiệp khác nhau mà Cybereason đã xác định, tác nhân đe dọa có được đặc quyền quản trị viên miền trong vòng chưa đầy hai giờ và chuyển sang triển khai ransomware trong vòng chưa đầy 12 giờ.
- Mức độ đe dọa là CAO: GSOC của Cybereason đánh giá mức độ đe dọa là CAO do chiến dịch có khả năng lan rộng do Black Basta điều hành.
- Chiến dịch QBot lan rộng nhắm mục tiêu vào các công ty có trụ sở tại Hoa Kỳ: Các tác nhân đe dọa tận dụng trình tải QBot đã tạo ra một mạng lưới lớn nhắm mục tiêu chủ yếu vào các công ty có trụ sở tại Hoa Kỳ và hành động nhanh chóng đối với bất kỳ nạn nhân lừa đảo trực tuyến nào mà chúng xâm phạm. Trong hai tuần qua, Cybereason đã quan sát thấy hơn 10 khách hàng khác nhau bị ảnh hưởng bởi chiến dịch gần đây này.
- Khóa mạng: Trong số nhiều trường hợp lây nhiễm Qakbot mà Cybereason đã xác định, có hai trường hợp cho phép kẻ đe dọa triển khai phần mềm tống tiền và sau đó khóa nạn nhân khỏi mạng của nó bằng cách vô hiệu hóa dịch vụ DNS của nạn nhân, điều này khiến việc khôi phục thậm chí còn phức tạp hơn.
- Triển khai Black Basta: Một sự thỏa hiệp đặc biệt nhanh mà Cybereason quan sát được đã dẫn đến việc triển khai phần mềm tống tiền Black Basta. Điều này cho phép các nhà nghiên cứu của Cybereason kết nối mối liên hệ giữa các tác nhân đe dọa sử dụng Qakbot và các nhà khai thác Black Basta.
Các cuộc tấn công ransomware có thể được ngăn chặn. Cybereason đưa ra các khuyến nghị sau cho các tổ chức để giảm thiểu rủi ro:
- Thực hành vệ sinh bảo mật tốt: Ví dụ: triển khai chương trình nâng cao nhận thức về bảo mật cho nhân viên và đảm bảo các hệ điều hành cũng như phần mềm khác được cập nhật và vá lỗi thường xuyên.
- Xác nhận có thể tiếp cận những người chơi quan trọng vào bất kỳ thời điểm nào trong ngày: Các hành động phản hồi quan trọng có thể bị trì hoãn khi các cuộc tấn công xảy ra vào các ngày lễ và cuối tuần.
- Tiến hành các bài tập và diễn tập định kỳ: Bao gồm các bên liên quan chính từ các chức năng khác ngoài bảo mật, chẳng hạn như Pháp lý, Nhân sự, CNTT và các giám đốc điều hành hàng đầu, để mọi người biết vai trò và trách nhiệm của họ nhằm đảm bảo phản hồi suôn sẻ nhất có thể.
- Thực hiện các biện pháp cách ly rõ ràng: Điều này sẽ ngăn chặn bất kỳ sự xâm nhập nào khác vào mạng và ngăn phần mềm tống tiền lây lan sang các thiết bị khác. Các nhóm bảo mật phải thành thạo những việc như ngắt kết nối máy chủ, khóa tài khoản bị xâm phạm và chặn miền độc hại.
- Cân nhắc khóa các tài khoản quan trọng khi có thể: Con đường mà những kẻ tấn công thường sử dụng để truyền bá phần mềm tống tiền trên mạng là nâng cấp đặc quyền lên cấp miền quản trị rồi triển khai phần mềm tống tiền. Các nhóm nên tạo các tài khoản chỉ dành cho trường hợp khẩn cấp, có độ bảo mật cao trong thư mục hoạt động. Tài khoản này chỉ được sử dụng khi các tài khoản hoạt động khác tạm thời bị vô hiệu hóa để đề phòng hoặc không thể truy cập được trong cuộc tấn công của mã độc tống tiền.
- Triển khai EDR trên tất cả các điểm cuối: Phát hiện và phản hồi điểm cuối (EDR) vẫn là cách nhanh nhất để các doanh nghiệp khu vực công và tư nhân giải quyết tai họa ransomware.
Về Cybereason
Cybereason là công ty XDR, hợp tác với Defenders để chấm dứt các cuộc tấn công ở điểm cuối, trên đám mây và trên toàn bộ hệ sinh thái doanh nghiệp. Chỉ có Nền tảng Phòng thủ Cybereason do AI điều khiển mới cung cấp khả năng nhập dữ liệu quy mô hành tinh, phát hiện MalOp ™ tập trung vào hoạt động và phản ứng dự đoán không bị đánh bại trước ransomware hiện đại và các kỹ thuật tấn công tiên tiến. Cybereason là một công ty tư nhân quốc tế có trụ sở chính tại Boston với khách hàng tại hơn 40 quốc gia.
Tìm hiểu thêm: https://www.cybereason.com/
Theo dõi tại: Blog | Twitter | Facebook
Phương tiện truyền thông liên lạc:
Bill Keeler
Giám đốc cấp cao, Quan hệ công chúng toàn cầu
Điện tử
hóa đơn.keeler@cybereason.com
+1 (929) 259-3261
Chia sẻ bài viết trên phương tiện truyền thông xã hội hoặc email:
