Le FBI a révélé que le groupe de ransomware BlackByte a accédé au réseau d’au moins trois organisations appartenant aux secteurs des infrastructures critiques américaines au cours des trois derniers mois.
BlackByte est un groupe qui propose le service Ransomware as a Service (RaaS). Ils sont dédiés au chiffrement des fichiers compromis sur les machines Windows, y compris les serveurs physiques et virtuels.
Les agences de cybersécurité recommandent les mesures suivantes pour atténuer les attaques de BlackByte et de tout autre attaquant de logiciels aléatoires :
- Mettez en place des sauvegardes régulières, de sorte que les sauvegardes se trouvent à un endroit différent et ne puissent pas être supprimées de la source de données d’origine.
- Mettez en place une segmentation du réseau, en empêchant toutes les machines du réseau d’être accessibles depuis n’importe quelle autre machine.
- Installez les mises à jour et les correctifs du système d’exploitation, des logiciels et des micrologiciels dès qu’ils sont publiés.
- Examinez les contrôleurs de domaine, les serveurs, les postes de travail et les répertoires pour détecter les comptes d’utilisateur nouveaux ou non reconnus.
- Auditer les comptes d’utilisateurs disposant de privilèges d’administrateur et configurer les contrôles d’accès en tenant compte des privilèges minimums requis. N’accordez pas les privilèges d’administrateur à tous les utilisateurs.
- Désactivez les ports d’accès à distance (RDP) inutilisés et surveillez les journaux d’accès à distance pour détecter toute activité inhabituelle.
- Désactiver les liens hypertextes dans les courriers électroniques entrants.
- Utilisez l’authentification à deux facteurs lorsque vous vous connectez à des comptes ou à des services.
Entre autres mesures, celles-ci sont faciles à mettre en œuvre et augmentent considérablement la sécurité de l’infrastructure.
Plus d’information:
https://www.bleepingcomputer.com/news/security/fbi-blackbyte-ransomware-breached-us-critical-infrastructure/