Pada tanggal 15 Februari 2022, Federal Bureau of Investigation (FBI) dan United States Secret Service (USSS) mengeluarkan Cybersecurity Advisory (CSA) yang mengidentifikasikan Indicators of Compromise (IoCs) berkaitan dengan Ransomware BlackByte. BlackByte merupakan kelompok Ransomware as a Service (RaaS) yang mengenkripsi file pada sistem host Windows terkompromi, termasuk server fisik dan virtual. Ransomware Blackbyte membuat file tidak dapat diakses dengan mengenkripsi file dan menuliskan catatan tebusan (file “BlackByte_restoremyfiles.hta”) yang berisi instruksi tentang cara menghubungi penyerang untuk dekripsi data dan detail lainnya.
BlackByte juga menambahkan ekstensi ‘.blackbyte” pada nama file yang terenkripsi. Kemudian BlackByte juga menawarkan untuk mendekripsi 2 (dua) file secara gratis untuk membuktikan bahwa penyerang merupakan Kelompok Ransomware BlackByte. Dekripsi file secara gratis tersebut memiliki catatan yaitu file tidak boleh lebih besar dari 3 (TIGA) megabyte dan tidak boleh berisikan informasi penting. Penyerang juga memperingatkan korban untuk tidak mendekripsi file karena dapat merusaknya. Korban disarankan untuk tidak membayar tebusan yang diminta oleh penyerang untuk mendapatkan alat dekripsi karena penyerang dimungkinkan tidak akan mengirimkannya.
INFORMASI PENTING
- BlackByte merupakan kelompok Ransomware as a Service (RaaS) yang mengenkripsi file pada sistem host Windows terkompromi, termasuk server fisik dan virtual.
- Berdasarkan laporan yang didapatkan, BlackByte menggunakan kerentanan Microsoft Exchange Server sebagai sarana untuk mendapatkan akses ke jaringan korban.
- Mengingat dampak yang mungkin muncul dari Ransomware BlackByte ini, diharapkan para pengguna sistem elektronik untuk segera melakukan tindakan-tindakan mitigasi yang dijelaskan pada peringatan keamanan ini.
DETAIL TEKNIS
Pelaku Ransomware biasanya menggunakan Trojan, email, dan sumber yang tidak dapat dipercaya untuk mengunduh file atau program, alat peretas perangkat lunak, dan update perangkat lunak yang palsu untuk menyebarkan malware. Eksekusi BlackByte meninggalkan catatan tebusan pada semua direktori tempat enkripsi terjadi. Dari beberapa laporan yang didapatkan, BlackByte menggunakan kerentanan Microsoft Exchange Server sebagai sarana untuk mendapatkan akses ke jaringan korban. Setelah penyerang masuk, penyerang menggunakan alat untuk bergerak secara lateral melintasi jaringan dan meningkatkan hak istimewa sebelum mengekstrak dan mengenkripsi file. Sebelum mengenkripsi, Blackbyte mengunduh file .png dari alamat IP 185.93.6.31 dan IP 45.9.148.114 dan yang lebih berbahaya mengenkripsi tanpa berkomunikasi dengan alamat IP eksternal apapun. Ransomware BlackByte menjalankan executable dari c:\windows\system32\ dan C:\Windows\.
Berikut merupakan IoC yang kemungkinan besar berkaitan dengan aktivitas BlackByte:
Nama file untuk file ASPX yang mencurigakan memiliki konvensi nama sebagai berikut:
- <5 random alphabetical characters>.aspx
- error<2 capital letters>.aspx
- iismeta<4 random numbers>.aspx
Scheduled tasks dapat dibuat dan artefak telah ditemukan di lokasi :
Windows\System32\Tasks:
Log IIS berisi permintaan GET dan POST ke berbagai file ASPX berbahaya dengan pola
“<FILE_PATH>/<SUSPICIOUS_FILENAME>.aspxexec_code=Response.Write”
Berikut adalah daftar hash dari file berbahaya yang telah diamati pada sistem terdampak oleh ransomware BlackByte:
Berikut ini adalah daftar perintah yang dieksekusi oleh complex.exe:
PANDUAN MITIGASI
Untuk mencegah dampak dari serangan ransomware BlackByte, pemilik sistem elektronik dapat melakukan langkah-langkah mitigasi sebagai berikut:
- Menerapkan pencadangan secara rutin pada semua data dan disimpan secara offline dengan menerapkan perlindungan keamanan menggunakan password. Pastikan salinan data tidak dapat diakses untuk dimodifikasi atau dihapus dari sistem tempat data asli berada.
- Menerapkan segmentasi jaringan sehingga seluruh mesin pada jaringan Anda tidak dapat diakses oleh mesin lainnya.
- Melakukan instalasi dan memperbarui perangkat lunak antivirus secara rutin pada seluruh host, kemudian mengaktifkan fitur real time detection.
- Melakukan pembaruan sistem operasi, perangkat lunak, dan firmware sesegera mungkin setelah patch dirilis.
- Melakukan peninjauan domain controller, server, workstation, dan Active Directory untuk akun pengguna baru atau akun pengguna yang tidak dikenali.
- Melakukan audit akun pengguna dengan hak administrative dan melakukan konfigurasi kontrol akses dengan hak istimewa terkecil. Jangan memberikan semua akun pengguna dengan hak administrative.
- Menonaktifkan port Remote Desktop Protocol (RDP) yang tidak digunakan dan monitor log RDP untuk aktivitas yang tidak biasa.
- Menambahkan email banner ke email yang diterima dari luar organisasi.
- Menonaktifkan hyperlink pada email yang diterima.
- Menggunakan two factor authentication pada saat masuk ke akun atau layanan.
- Memastikan bahwa telah dilakukan audit rutin untuk seluruh akun.
- Memastikan semua IoC yang terindentifikasi dimasukkan ke dalam jaringan SIEM untuk pemonitoran serta peringatan berkelanjutan.
Mengunduh program dan file dari situs web resmi dan hanya melalui tautan langsung yang terpercaya.
source : https://csirt.jatengprov.go.id/peringatan-keamanan-ransomware-blackbyte/