Cục Điều tra Liên bang (FBI) và Cơ quan Mật vụ Hoa Kỳ (USSS) đã phối hợp trong Cố vấn An ninh mạng chung này để cung cấp thông tin về phần mềm tống tiền Blackyte. Blackyte ransomware đã lây nhiễm sang nhiều doanh nghiệp Hoa Kỳ và ở nước ngoài kể từ tháng 11 năm 2021, bao gồm ít nhất ba lĩnh vực cơ sở hạ tầng quan trọng ở Hoa Kỳ (cơ sở chính phủ, tài chính, thực phẩm và nông nghiệp).
Blackyte Ransomware là gì
Blackyte là một nhóm ransomware-as-a-service (RaaS) mã hóa các tệp trên hệ thống máy chủ Windows bị nhiễm, bao gồm cả máy chủ vật lý và máy chủ ảo.
Modus Operandi của Blackbyte Ransomware là gì?
Blackyte ransomware hoạt động theo hai cách, tấn công trực tiếp và loại kia là ransomware dưới dạng phiên bản dịch vụ được điều hành bởi những tên tội phạm khác, những kẻ đã trả tiền cho người viết phần mềm độc hại để sử dụng các công cụ phần mềm của chúng. Và, giống như nhiều sản phẩm phần mềm độc hại khác, nó tận dụng khả năng lây nhiễm khu vực khởi động của máy tính, nghĩa là tắt PC của bạn và khởi động lại.
Blackyte có thể xâm nhập vào tổ chức của bạn bằng cách nhắm mục tiêu vào các máy chủ Microsoft Exchange. Bất kỳ doanh nghiệp nào cũng có thể bị tổn hại nghiêm trọng do mất mạng email, nhưng Exchange đặc biệt dễ bị tổn thương vì rất nhiều công ty vẫn đang sử dụng các phiên bản trước đó. Vì nâng cấp Exchange không phải là một thủ tục đơn giản hay nhanh chóng, nhiều quản trị viên CNTT vẫn đang sử dụng các phiên bản 2013 và 2016.
Phần mềm tống tiền BlackByte mã hóa các tệp và tạo ghi chú đòi tiền chuộc (tệp “Nintyyte restoremyfiles.hta”) với hướng dẫn về cách liên hệ với những kẻ tấn công để khôi phục dữ liệu và các thông tin khác. Phần mở rộng “.blackbyte” cũng được thêm vào tên của các tệp được mã hóa bởi BlackByte. Ví dụ:“1.jpg” trở thành “1.jpg.blackbyte”, “2.jpg” trở thành “2.jpg.blackbyte”, v.v. Thông báo đòi tiền chuộc này do tội phạm mạng tạo ra để thông báo cho nạn nhân rằng tài liệu, cơ sở dữ liệu và các mục khác của họ đã được mã hóa.
Nạn nhân phải có một công cụ giải mã để giải mã các tệp của họ. Liên hệ với tội phạm mạng qua địa chỉ email admin@wsxdn.com sẽ cung cấp hướng dẫn về cách lấy công cụ giải mã. Để chứng minh rằng thủ phạm ransomware Blackyte có thể giải mã các tệp, chúng đề nghị mở khóa miễn phí hai tệp.
Ví dụ gần đây về cuộc tấn công của Blackyte
Đội bóng đá San Francisco 49ers gần đây đã bị tấn công bởi các nhà điều hành Blackyte, những người tuyên bố đã lấy được dữ liệu tài chính từ họ. Theo cảnh báo chung, một số nạn nhân đã phát hiện ra rằng những kẻ tấn công đã có được quyền truy cập ban đầu vào môi trường của họ bằng cách khai thác lỗ hổng Microsoft Exchange Server đã biết. Trước khi thu thập và mã hóa dữ liệu, các nhà điều hành ransomware đã sử dụng các công cụ cho phép chúng di chuyển theo chiều ngang trên mạng và tìm cách leo thang quyền truy cập.
Làm cách nào để PC bị nhiễm Ransomware?
Để phát tán phần mềm độc hại, tội phạm mạng sử dụng Trojan, email, các nguồn đáng ngờ để lấy tệp hoặc chương trình, công cụ bẻ khóa phần mềm và trình cập nhật phần mềm giả mạo. Khi Trojan được cài đặt trên máy tính, chúng có thể lây nhiễm nó. Phần lớn các Trojan giả dạng các chương trình hợp pháp. Tài liệu Microsoft Office độc hại, tệp thực thi (như EXE), tệp JavaScript, tài liệu PDF và các mục khác được bao gồm trong email gửi phần mềm độc hại. Bằng cách mở các tệp được tải xuống từ hoặc thông qua các email được sử dụng để phát tán phần mềm độc hại, người nhận sẽ lây nhiễm hệ thống của họ.
Người dùng bị lừa tải xuống và mở các tệp độc hại bằng cách sử dụng các nguồn không đáng tin cậy để tải xuống tệp và chương trình. Phần mềm bẻ khóa được thiết kế để cho phép bạn kích hoạt phần mềm được cấp phép miễn phí (theo cách bất hợp pháp). Một phần đáng kể các chương trình này nhằm mục đích lây nhiễm phần mềm độc hại vào máy tính. Thay vì nâng cấp hoặc sửa phần mềm, các trình cập nhật phần mềm giả mạo sẽ gây ra thiệt hại bằng cách khai thác các lỗi, lỗ hổng trong phần mềm lỗi thời hoặc đơn giản là lây nhiễm cho máy.
Doanh nghiệp có thể làm gì để tự bảo vệ mình?
Dưới đây là một số chiến lược mà bạn có thể áp dụng để bảo vệ doanh nghiệp của mình chống lại phần mềm Ransomware Blackyte.
- Nếu bạn đang sử dụng phiên bản Exchange dễ bị tấn công, bạn nên áp dụng các bản sửa lỗi khác nhau của Microsoft càng sớm càng tốt. Tốt hơn hết, bạn nên đưa ra chiến lược nâng cấp lên phiên bản Exchange mới nhất hoặc chuyển sang Office365 hoặc Google Workspace càng sớm càng tốt.
- Đảm bảo rằng các bản sao lưu của bạn được cập nhật và có thể được sử dụng để khôi phục máy chủ của bạn.
- cô lập máy chủ Exchange của bạn trên một phân đoạn mạng riêng biệt để giảm nguy cơ bị các mối đe dọa qua email. Đây là điều mà nhiều tổ chức đã làm trong quá khứ và đó là lý do tại sao Blackyte không phá hủy toàn bộ kiến trúc mạng.
- Nếu bạn bị ảnh hưởng, bạn nên sử dụng khóa giải mã được tạo cho cuộc tấn công Blackyte trước đây để giải mã dữ liệu. Mặc dù đây là một bước thông minh nhưng không có gì đảm bảo rằng khóa này sẽ hoạt động nếu những kẻ tấn công sử dụng phiên bản mới hơn của phần mềm độc hại.
- Quan trọng nhất, hãy cách ly máy / thiết bị mà bạn đã phát hiện ra phần mềm tống tiền.
- Sử dụng các trang web chính thức để tải xuống ứng dụng và cập nhật.
- Sử dụng Phần mềm chống vi-rút theo thời gian thực để giữ cho PC của bạn an toàn và bảo mật.
Phần thưởng:Systweak Antivirus để chống lại phần mềm độc hại
Systweak Antivirus bảo vệ máy tính của bạn trong thời gian thực chống lại tất cả các dạng mối đe dọa độc hại. Nó cũng bao gồm plugin trình duyệt StopAllAds, giúp lọc các quảng cáo không mong muốn và bảo vệ máy tính bằng cách ngăn phần mềm độc hại và các loại phần mềm độc hại khác được tải xuống hoặc truy cập. Systweak Antivirus bảo vệ máy tính của bạn khỏi bị khai thác suốt 365 ngày một năm. Nó nâng cao hiệu suất hiện tại của máy tính bằng cách hoạt động như một trung tâm duy nhất cho tất cả các nhu cầu bảo mật.
Bảo mật thời gian thực. Systweak Antivirus là một trong số ít phần mềm diệt vi rút có thể phát hiện các mối đe dọa / ứng dụng tiềm ẩn dựa trên cách chúng hoạt động trên máy tính của bạn.
Nó khá đơn giản để sử dụng . Chương trình này có giao diện người dùng dễ sử dụng và mọi người trong gia đình bạn có thể sử dụng.
Bảo mật trong thời gian thực. Một trong số ít hệ thống chống vi-rút có thể phát hiện các mối đe dọa / ứng dụng tiềm ẩn dựa trên cách chúng hoạt động trên máy tính của bạn là Systweak Antivirus.
Trọng lượng nhẹ. Phần mềm tiêu tốn ít tài nguyên hệ thống nhất được coi là tốt nhất vì nó không gây lãng phí tài nguyên CPU của bạn.
An toàn và Bảo mật. Ứng dụng này cho phép bạn duyệt Internet trong khi trình chặn quảng cáo ngăn bạn nhìn thấy quảng cáo.
Tổ chức menu Khởi động . Người dùng có thể tắt các thành phần làm chậm thời gian khởi động của máy tính.
Lời cuối cùng về Blackyte Ransomware là gì và cách bảo vệ chống lại nó?
Các biện pháp phòng ngừa và bảo vệ được đề cập ở trên sẽ giúp bạn giữ an toàn cho PC của mình ở một mức độ nhất định và giảm đáng kể khả năng PC của bạn bị nhiễm ransomware. Duy trì vệ sinh PC và cập nhật máy tính của bạn sẽ đảm bảo rằng bạn vẫn an toàn và bảo mật. Systweak Antivirus hoạt động giống như một lợi thế bổ sung cho tất cả người dùng vì nó có thể phát hiện phần mềm độc hại và các hoạt động đe dọa tiềm ẩn trên cơ sở thời gian thực.
Theo dõi chúng tôi trên mạng xã hội - Facebook, Instagram và YouTube. Đối với bất kỳ thắc mắc hoặc đề xuất nào, vui lòng cho chúng tôi biết trong phần bình luận bên dưới. Chúng tôi rất muốn liên hệ lại với bạn để đưa ra giải pháp. Chúng tôi thường xuyên đăng các mẹo và thủ thuật, cùng với câu trả lời cho các vấn đề phổ biến liên quan đến công nghệ.