Americký Federální úřad pro vyšetřování (Federal Bureau of Investigation; FBI) zveřejnil informaci, že ransomwarová skupina BlackByte v posledních třech měsících prolomila sítě nejméně tří organizací spadajících do segmentu kritické infrastruktury Spojených států. Vyplývá to ze společného bezpečnostního doporučení, které bylo ve spolupráci s americkou tajnou službou (U.S. Secret Service; USSS) zveřejněno v pátek.
„Od listopadu 2021 ransomware BlackByte ohrozil řadu amerických i zahraničních podniků, včetně subjektů v nejméně třech odvětvích kritické infrastruktury USA (vládní zařízení, finančnictví, potravinářství a zemědělství),“ uvádí úřad ve zprávě.
Ransomware BlackByte
Ransomware se zaměřuje na počítače s operačním systémem Windows a jeho hlavní činností je zašifrování souborů. První útoky byly zaznamenány v červenci loňského roku, přičemž hackeři k získání přístupu do počítačové sítě svých cílů využívali softwarové zranitelnosti (např. v MS Exchange).
BlackByte funguje jako „ransomware jako služba“ („ransomware-as-a-service “; RaaS). V praxi to znamená, že hackeři pronajímají svou infrastrukturu pro ransomware jiným subjektům výměnou za procenta ze získaného výkupného.
Po útoku ransomwaru BlackByte oběť obvykle najde ve všech adresářích, kde byly zašifrovány soubory, oznámení s požadavkem na výkupné. V poznámce je oběť instruována, aby navštívila webovou stránku v síti Tor a zaplatila výkupné výměnou za dešifrovací klíč.
FBI a USSS upozorňují, že v některých případech byly soubory zašifrovány pouze částečně. Zatímco předchozí verze ransomwaru stahovaly před zahájením šifrovacího procesu soubor s příponou .png, novější varianty již vůbec nekomunikují s externími IP adresami.
Jak se bránit útoku
Útočníci se zaměřují na různé firmy, instituce a organizace – úspěšně zaútočili například na profesionální klub amerického fotbalu San Francisco 49ers. Během incidentu ukradli ze serverů fotbalové organizace data a část získaných souborů publikovali na svém blogu.
V říjnu 2020 uvolnila bezpečnostní firma Trustwave bezplatný dešifrovací nástroj, který některým obětem umožnil zdarma obnovit jejich soubory. Experti využili faktu, že ransomwarový gang použil při více útocích stejný dešifrovací/šifrovací klíč. Jednoduché šifrovací techniky vedly některé odborníky k přesvědčení, že tento ransomware je dílem amatérů.
Společné doporučení FBI a USSS obsahuje dlouhý seznam indikátorů kompromitace spojených s ransomwarem BlackByte a také doporučení, jak mohou organizace riziko případného útoku zmírnit.
