El FBI ha revelado que el grupo de ransomware BlackByte ha accedido a la red de al menos tres organizaciones pertenecientes a los sectores de infraestructuras críticas de Estados Unidos en los últimos tres meses.
BlackByte es un grupo que ofrece Ransomware as a Service (RaaS). Se dedican a cifrar los archivos comprometidos en máquinas con Windows incluyendo tanto servidores físicos como virtuales.
Las agencias de ciberseguridad recomiendan las siguientes medidas para mitigar los ataques tanto de BlackByte como de cualquier otro atacante que utilice «randomware»:
- Implementar copias de seguridad periódicas, de modo que éstas se encuentren en una localización distinta ni puedan eliminarse desde la fuente de los datos originales.
- Implementar segmentación de red, evitando que se pueda acceder a todas las máquinas de la red desde cualquier otra máquina.
- Instalar actualizaciones y parches de sistemas operativos, software y firmware tan pronto como se publiquen estas.
- Revisar los controladores de dominio, servidores, estaciones de trabajo y directorios en busca de cuentas de usuario nuevas o no reconocidas.
- Auditar las cuentas de usuario con privilegios de administrador y configurar los controles de acceso teniendo en cuenta los privilegios mínimos necesarios. No otorgar privilegios de administrador a todos los usuarios.
- Deshabilitar los puertos de acceso remoto (RDP) no utilizados y controlar los registros de acceso remoto para detectar cualquier actividad inusual.
- Deshabilitar los hipervínculos en los correos electrónicos recibidos.
- Utilizar factores de doble autenticación al iniciar sesión en cuentas o servicios.
Entre otras medidas; éstas son fáciles de implementar e incrementan bastante la seguridad de lainfraestructura.