The San Francisco 49ers baru-baru ini dilumpuhkan oleh serangan ransomware BlackByte yang untuk sementara mengacaukan jaringan TI korporat tim NFL pada Big Buffalo Wing-Snarfing Day itu sendiri: Superbowl Sunday.
BlackByte – geng ransomware-as-a-service (RaaS) yang menyewakan Ransomwarenya kepada afiliasi yang memotongnya dari bagian keuntungan tebusan – mengaku bertanggung jawab atas serangan tersebut dengan membocorkan file yang konon dicuri dalam serangan cyber.
The 49ers mengkonfirmasi serangan tersebut ke Threatpost pada hari Senin. Pernyataan tim:
“Kami baru-baru ini mengetahui insiden keamanan jaringan yang mengakibatkan gangguan sementara pada sistem tertentu di jaringan TI perusahaan kami. Setelah mengetahui insiden tersebut, kami segera memulai penyelidikan dan mengambil langkah untuk mengatasi insiden tersebut.”
The 49ers membawa perusahaan keamanan siber pihak ketiga untuk membantu dan memberi tahu penegak hukum. Tim masih menyelidiki pada hari Senin, tetapi sejauh ini, sepertinya intrusi itu terbatas pada jaringan TI perusahaannya dan tidak memengaruhi sistem tiket atau sistem di markas tim, Stadion Levi..
“Sampai saat ini, kami tidak memiliki indikasi bahwa insiden ini melibatkan sistem di luar jaringan perusahaan kami, seperti yang terhubung dengan operasi Stadion Levi's atau pemegang tiket,” demikian pernyataannya. “Seiring penyelidikan berlanjut, kami bekerja dengan rajin untuk memulihkan sistem yang terlibat secepat dan seaman mungkin.”
Joseph Carson, kepala ilmuwan keamanan dan penasihat CISO di penyedia penyedia solusi manajemen akses istimewa (PAM) Delinea, menyarankan kepada Threatpost bahwa itu kemungkinan bahwa afiliasi meretas 49ers, berbeda dengan penulis di balik ransomware, mengingat bahwa BlackByte adalah RaaS.
BlackByte baru-baru ini memposting beberapa file yang konon dicuri dari tim di situs web gelap dalam file bertanda “Faktur 2020.” Geng itu belum mengumumkan tuntutan tebusan kepada publik. Kelompok ini juga tidak menentukan berapa banyak data yang dicuri atau dienkripsi.
Sumber: Ars Technica.
Carson mengatakan bahwa waktu Superbowl membuat yang satu ini menjadi kasus klasik hama dunia maya yang memeras peristiwa besar: jenis situasi di mana mereka bisa mendapatkan korban yang tidak menaruh curiga "untuk mengklik tautan, mengunduh dan menjalankan perangkat lunak berbahaya atau memberikan kredensial mereka, mengira mereka mengakses layanan internet yang sah, mengakibatkan penjahat dunia maya mendapatkan akses awal ke jaringan dan layanan. Setelah akses disusupi, hanya masalah waktu sebelum ransomware dikerahkan.”
Attack Mengikuti dengan Cepat Peringatan Fed
Serangan terhadap 49ers terjadi dua hari setelah FBI dan Secret Service bersama-sama mengumumkan (PDF) bahwa ransomware BlackByte telah dilanggar jaringan setidaknya tiga organisasi dari sektor infrastruktur penting AS dalam tiga bulan terakhir.
“Pada November 2021, ransomware BlackByte telah membahayakan beberapa bisnis AS dan asing, termasuk entitas di setidaknya tiga sektor infrastruktur penting AS (fasilitas pemerintah, , dan makanan & pertanian),” kata The Fed dalam TLP:WHITE joint cybersecurity advisory yang dirilis pada hari Jumat.
BlackByte's Back
Geng ini muncul pada Juli 2021, ketika mulai memangsa organisasi dengan mengeksploitasi kerentanan Microsoft Exchange yang diketahui – seperti ProxyShell – untuk mencakar jalannya ke environment.
Ini berhasil untuk sementara waktu: BlackByte mencetak kemenangan melawan manufaktur, h industri perawatan kesehatan dan konstruksi di Amerika Serikat, Eropa dan Australia. Tapi geng itu menemui jalan buntu ketika, berbulan-bulan kemudian, Trustwave merilis alat dekripsi gratis yang memungkinkan korban BlackByte untuk membuka file mereka.
Seperti yang dikatakan Trustwave pada bulan Oktober, perusahaan keamanan menemukan BlackByte sebagai ransomware aneh, karena alasan berikut:
Sama seperti yang lain varian ransomware terkenal seperti REvil, BlackByte juga menghindari sistem dengan bahasa Rusia dan bekas Uni Soviet.Ini memiliki fungsi worm yang mirip dengan RYUK ransomware.Ini membuat paket ajaib bangun-on-LAN dan mengirimkannya ke host target – memastikan mereka hidup ketika menginfeksi mereka.Penulis menghosting kunci enkripsi di server HTTP jarak jauh dan dalam file tersembunyi dengan ekstensi .PNG.Penulis membiarkan program mogok jika gagal mengunduh kunci enkripsi.Kunci publik RSA yang disematkan di badan adalah hanya digunakan sekali, untuk mengenkripsi kunci mentah untuk ditampilkan dalam catatan tebusan – hanya itu.Ransomware hanya menggunakan satu kunci simetris untuk mengenkripsi file.
Sejauh situs lelang BlackByte untuk sellin g data korban pergi, itu rupanya rumah cermin. Sementara situs mengklaim berisi data yang dieksfiltrasi dari korban, ransomware itu sendiri tidak memiliki kemampuan untuk mengekstrak data, tulis Rodel Mendrez dan Lloyd Macrohon dari Trustwave. “Klaim ini mungkin dirancang untuk menakut-nakuti korbannya agar mematuhinya,” kata mereka di situs Onion.
BlackByte. Sumber: Trustwave.
Seperti yang ditunjukkan oleh analis Trustwave pada bulan Oktober, grup tersebut menggunakan teknik enkripsi sederhana, menggunakan hanya satu kunci simetris untuk mengenkripsi file di AES, dibandingkan dengan menggunakan kunci unik untuk setiap sesi.
Tetapi meskipun dekripsi Trustwave mengalami kemunduran dan apa para ahli menganggap enkripsi sederhana, BlackByte jelas baik-baik saja, mengingat peringatan FBI/Layanan Rahasia pada hari Jumat.
Matthew Warner, CTO dan salah satu pendiri di Blumira, penyedia deteksi ancaman otomatis dan teknologi respons, menyebut BlackByte " operator ransomware yang sedang berkembang” yang diuntungkan dari mengikuti pola sukses yang diterapkan oleh groups.
“Mirip dengan ransomware Conti, BlackByte telah diidentifikasi menggunakan kerentanan Exchange seperti ProxyShell untuk mendapatkan pijakan di lingkungan,” Warner mengamati Threatpost pada hari Senin. “Selain itu, BlackByte menggunakan taktik yang telah terbukti baik seperti eksploitasi Powershell dari konten base64 yang dikaburkan untuk melakukan semua enkripsi pada host yang pernah dieksploitasi.
“Pada akhirnya, BlackByte sama sekali tidak lebih canggih daripada aktor lain di dunia ransomware melainkan pemain baru yang akan datang untuk mengeksploitasi organisasi dan data mereka,” tambah Warner melalui email.
Critical Infrastructure
Erich Kron, advokat kesadaran keamanan di KnowBe4, berfokus pada peringatan FBI tentang keberhasilan BlackByte dalam menembus sektor infrastruktur kritis: sektor yang telah “ diganggu" oleh serangan ransomware, katanya.
"Kekritisan sistem membuat pemulihan cepat menjadi vital, yang meningkatkan kemungkinan korban akan membayar uang tebusan," kata Kron dalam email Senin. “Kekritisan yang sama ini juga membuat perhatian penegak hukum menjadi lebih mungkin. Namun, mengingat tingkat keberhasilan yang rendah dari kegagalan penegakan hukum, ini sering kali merupakan peluang yang bersedia diambil oleh kelompok tersebut.”
Kron menyalahkan anggaran yang terbatas, peralatan yang menua, dan kekurangan staf keamanan siber yang membuat infrastruktur penting dan banyak entitas pemerintah menjadi sangat rentan terhadap serangan ransomware. .
“Grup ini harus fokus pada vektor serangan teratas yang digunakan dalam serangan ransomware, biasanya phishing email dan serangan pada portal akses jarak jauh,” sarannya. “Melatih pengguna untuk menemukan dan melaporkan email phishing dan meningkatkan budaya keamanan organisasi, bersama dengan memastikan portal akses jarak jauh dipantau untuk serangan brute force dan kredensial yang digunakan mengaktifkan Multi-Factor Authentication (MFA) adalah beberapa cara terbaik untuk melawan ini. ancaman.”
Bergabunglah dengan Threatpost pada Rabu. 23 Februari pukul 14:00 ET untuk diskusi meja bundar LANGSUNG “Rahasia Menjaga Rahasia,” disponsori oleh Keeper Security, berfokus pada cara menemukan dan mengunci data paling sensitif organisasi Anda. Zane Bond dengan Keeper Security akan bergabung dengan Becky Bracken dari Threatpost untuk menawarkan langkah nyata untuk melindungi informasi penting organisasi Anda di cloud, saat transit, dan di penyimpanan. DAFTAR SEKARANG dan silakan Tweet pertanyaan Anda sebelumnya @Threatpost agar dapat disertakan dalam diskusi.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web
