image

FBI geeft beveiligingstips tegen aanvallen met BlackMatter-ransomware

dinsdag 19 oktober 2021, 10:31 door Redactie, 3 reacties

Sinds juli van dit jaar zijn verschillende vitale infrastructuurorganisaties in de Verenigde Staten het doelwit geworden van aanvallen met de BlackMatter-ransomware. De FBI, de Amerikaanse geheime dienst NSA en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security hebben nu beveiligingstips gepubliceerd hoe vitale organisaties en andere bedrijven zich tegen deze aanvallen kunnen beschermen.

Volgens de Amerikaanse overheidsinstanties is BlackMatter mogelijk de naam van dezelfde ransomwaregroep die eerst nog als DarkSide bekendstond en verantwoordelijk was voor de aanval op de Colonial Pipeline in de VS. De BlackMatter-groep heeft aanvallen tegen meerdere Amerikaanse organisaties uitgevoerd en daarbij losgeld geëist variërend van tachtigduizend tot vijftien miljoen dollar.

Hoe BlackMatter precies toegang tot de systemen van slachtoffers weet te krijgen wordt niet vermeld. Wel melden de overheidsinstanties welke acties de aanvallers uitvoeren nadat ze toegang hebben verkregen. Zo gebruiken ze een apart encryptiebestand voor Linux-gebaseerde machines, versleutelen ze EXSi virtual machines en in plaats van back-ups te versleutelen worden die door de groep verwijderd.

Om aanvallen te voorkomen en de impact te beperken geven de FBI, NSA en CISA verschillende tips en signatures. Het gaat om IDS/IPS-rules die de plaatsing van de ransomwaremelding op de eerste versleutelde share blokkeren, en vervolgens aanvullend SMB-verkeer van het "encryptor system" 24 uur lang blokkeren. Tevens wordt aangeraden het aantal onnodige administrative shares te verwijderen, time-based access voor beheerders te implementeren, command-line en scriptingactiviteiten uit te schakelen en Windows Credential Guard te gebruiken.

Verder worden organisaties opgeroepen om beveiligingsupdates te installeren, aangezien dat één van de meest efficiënte en effectieve maatregelen is om aanvallen te voorkomen. Tevens moeten systemen met lokale beheerdersaccounts een wachtwoordbeleid implementeren waarbij elk apart beheerdersaccount van een uniek en sterk wachtwoord is voorzien en wordt het gebruik van multifactorauthenticatie aangeraden.

Reacties (3)
19-10-2021, 12:07 door Anoniem
Wat zijn dat voor mensen die ESX hypervisors aan een windows netwerk hangen! en hoe zo Windows Credential Guard gebruiken? Is dit een Microsoft advertorial?
19-10-2021, 15:00 door Anoniem
In dit document https://us-cert.cisa.gov/ncas/alerts/aa21-291a van de CISA, FBI en NSA staat een link naar VirusTotal:
https://www.virustotal.com/gui/file/706f3eec328e91ff7f66c8f0a2fb9b556325c153a329a2062dc85879c540839d/detection
48 security vendors (48/60) and 3 sandboxes flagged this file as malicious
(Microsoft Defender) Ransom:Win32/BlackMatter.MAK!MTB
(ClamAV) Win.Ransomware.Blackmatter-9894377-0
BlackMatter is dus een Win32 malware die inmiddels al breed herkend wordt door malwarescanners. Als je geen van deze malwarescanners draait, dan ben je potentieel slachtoffer van BlackMatter.
Tja .... onbegrijpelijk maar het schijnt toch nog voor te komen.

Dit artikel: " ... en wordt het gebruik van multifactorauthenticatie aangeraden."
Dit document https://us-cert.cisa.gov/ncas/alerts/aa21-291a beschrijft het in iets strictere bewoordingen:
"Require multi-factor authentication for all services to the extent possible, particularly for webmail, virtual private networks, and accounts that access critical systems"
En er staan nog extra aanbevelingen in betreffende:
"Implement Network Segmentation and Traversal Monitoring".
"Implement and Enforce Backup and Restoration Policies and Procedures".

Nuttig document, maar voor insiders "niets nieuws onder de zon".
20-10-2021, 11:19 door Anoniem
Ze zeggen dus eigenlijk dat je het netwerk fatsoenlijk moet inrichten en up-to-date moet houden.

Dus geen aan elkaar geknoopte zooi er van moet maken, waarmee alles in een keer te berijken is.

En ja, daar gaan we weer. Wachtwoord managment. Goh, het bekende "Welkom01" verhaal.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.