Otoritas federal memperingatkan bisnis untuk menopang pertahanan keamanan siber karena dengan hati-hati memantau kemunculan kembali geng ransomware DarkSide, yang diyakini bertanggung jawab atas serangan Colonial Pipeline yang melumpuhkan pada Mei 2021.
Geng ransomware-as-a-service telah berkumpul kembali di bawah moniker BlackMatter, menurut penasehat bersama yang diposting Senin oleh Cybersecurity and Infrastructure Security Agency (CISA), FBI dan National Security Agency (NSA).
Penasihat mendesak bisnis untuk meningkatkan pertahanan yang terkait dengan kredensial pengguna dan menerapkan kata sandi yang kuat dan otentikasi multi-faktor (MFA) untuk lebih menggagalkan peningkatan yang diantisipasi dalam aktivitas kriminal BlackMatter.
Penasihat tersebut menawarkan tip pertahanan siber dan potensi mitigasi serangan.
“Menggunakan kredensial tertanam yang sebelumnya dikompromikan, BlackMatter memanfaatkan protokol Lightweight Directory Access Protocol (LDAP) dan Server Message Block (SMB) untuk mengakses Active Directory (AD) untuk menemukan semua host di jaringan,” menurut penasihat tersebut. “BlackMatter kemudian mengenkripsi host dan drive bersama dari jarak jauh saat ditemukan.”
Karena taktiknya untuk menggunakan kredensial curian untuk menembus jaringan, beberapa mitigasi utama untuk mempertahankan diri dari serangan BlackMatter terkait dengan cara organisasi menangani otentikasi pengguna dan dengan demikian merupakan perbaikan praktis.
Badan-badan tersebut merekomendasikan untuk menegakkan kata sandi yang kuat dan menerapkan MFA di seluruh jaringan untuk menghindari kompromi dengan kredensial yang dicuri.
Menggunakan signature deteksi yang disediakan untuk mengidentifikasi aktivitas BlackMatter di jaringan juga dapat memblokir penempatan catatan tebusan grup pada bagian pertama yang dienkripsi, “selanjutnya memblokir lalu lintas SMB tambahan dari sistem encryptor selama 24 jam,” rekomendasi agensi.
Badan-badan tersebut merekomendasikan untuk menghapus akses yang tidak perlu ke pembagian administratif, terutama ADMIN$ dan C$, dan menggunakan firewall berbasis host untuk hanya mengizinkan koneksi ke pembagian administratif melalui SMB dari seperangkat mesin administrator yang terbatas.
Selengkapnya: Threat Post
