BlackByte è uno dei RaaS (Ransomware-as-a-Service) più “popolari” del momento. Pochi giorni fa ha colpito la rete interna dei San Francisco 49ers, noto team di football americano. L’FBI ha comunicato invece che il gruppo di cybercriminali ha effettuato attacchi contro almeno tre aziende che gestiscono infrastrutture critiche negli Stati Uniti.
Pericolo BlackByte negli USA
Nell’avviso di sicurezza pubblicato dall’FBI non sono indicati i nomi delle aziende colpite a partire dal mese di novembre 2021, ma vengono forniti alcuni dettagli tecnici sull’attacco. BlackByte installa l’eseguibile nelle directory C\Windows\System32\ e C:\Windows\. In ogni directory contenente i file cifrati dal ransomware viene copiato un file di testo con le istruzioni da seguire per pagare il riscatto.
Non è ancora chiaro come vengono infettati i PC, ma una delle “porte di ingresso” più usate è ProxyShell, le note vulnerabilità di Microsoft Exchange. Ciò significa che ci sono ancora server non aggiornati (le patch sono state rilasciate quasi un anno fa).
Una caratteristica inusuale di BlackByte è l’uso del “print bombing“. Il ransomware individua tutte le stampanti collegate alla rete e avvia la stampa di un documento WordPad con la frase “Your HACKED by BlackByte team. Connect us to restore your system“.
L’FBI elenca una serie di accorgimenti da seguire per ridurre al minimo i rischi: effettuare backup regolari protetti da password e non connessi ad Internet, implementare la segmentazione della rete, controllare i permessi di accesso, attivare l’autenticazione in due fattori, installare gli aggiornamenti per sistema operativo e software, usare un antivirus, disattivare le porte RDP non utilizzate e i link nelle email ricevute.
Ti potrebbe interessare
15 feb 2022