Sinds juli van dit jaar zijn verschillende vitale infrastructuurorganisaties in de Verenigde Staten het doelwit geworden van aanvallen met de BlackMatter-ransomware. De FBI, de Amerikaanse geheime dienst NSA en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security hebben nu beveiligingstips gepubliceerd hoe vitale organisaties en andere bedrijven zich tegen deze aanvallen kunnen beschermen.
Volgens de Amerikaanse overheidsinstanties is BlackMatter mogelijk de naam van dezelfde ransomwaregroep die eerst nog als DarkSide bekendstond en verantwoordelijk was voor de aanval op de Colonial Pipeline in de VS. De BlackMatter-groep heeft aanvallen tegen meerdere Amerikaanse organisaties uitgevoerd en daarbij losgeld geëist variërend van tachtigduizend tot vijftien miljoen dollar.
Hoe BlackMatter precies toegang tot de systemen van slachtoffers weet te krijgen wordt niet vermeld. Wel melden de overheidsinstanties welke acties de aanvallers uitvoeren nadat ze toegang hebben verkregen. Zo gebruiken ze een apart encryptiebestand voor Linux-gebaseerde machines, versleutelen ze EXSi virtual machines en in plaats van back-ups te versleutelen worden die door de groep verwijderd.
Om aanvallen te voorkomen en de impact te beperken geven de FBI, NSA en CISA verschillende tips en signatures. Het gaat om IDS/IPS-rules die de plaatsing van de ransomwaremelding op de eerste versleutelde share blokkeren, en vervolgens aanvullend SMB-verkeer van het "encryptor system" 24 uur lang blokkeren. Tevens wordt aangeraden het aantal onnodige administrative shares te verwijderen, time-based access voor beheerders te implementeren, command-line en scriptingactiviteiten uit te schakelen en Windows Credential Guard te gebruiken.
Verder worden organisaties opgeroepen om beveiligingsupdates te installeren, aangezien dat één van de meest efficiënte en effectieve maatregelen is om aanvallen te voorkomen. Tevens moeten systemen met lokale beheerdersaccounts een wachtwoordbeleid implementeren waarbij elk apart beheerdersaccount van een uniek en sterk wachtwoord is voorzien en wordt het gebruik van multifactorauthenticatie aangeraden.
Deze posting is gelocked. Reageren is niet meer mogelijk.