De FBI en de Amerikaanse geheime dienst hebben vandaag een gezamenlijk cyberbeveiligingsadvies uitgebracht over de wijdverbreide ransomware-as-a-service-groep BlackByte, waarin ze waarschuwen dat aanvallers die de ransomware inzetten, organisaties hebben besmet in ten minste drie kritieke infrastructuursectoren van de VS: de overheid
faciliteiten, financiën en voedsel en landbouw - evenals anderen buiten de VS.
BlackByte staat bekend om het coderen van slachtofferbestanden op Windows-systemen en virtuele machines, en volgens de FBI en de USSS maakten de aanvallers misbruik van een "bekende Microsoft Exchange Server"-kwetsbaarheid in sommige slachtoffersystemen.
“In sommige gevallen hebben BlackByte ransomware-acteurs slechts
gedeeltelijk versleutelde bestanden. In gevallen waar decodering niet mogelijk is, kan sommige gegevensherstel:
gebeuren, "volgens het advies, dat omvat: specifieke mitigatiemethoden voor de ransomware. “Een nieuwere versie versleutelt zonder
communiceren met externe IP-adressen. BlackByte ransomware voert uitvoerbare bestanden uit
van c:windowssystem32 en C:Windows. Procesinjectie is waargenomen op
processen die het creëert.”