🧠 De blog is gewijd aan het onderwerp VPN en beveiliging, gegevensprivacy op internet. We praten over actuele trends en nieuws met betrekking tot bescherming.

Die BlackByte Ransomware Group hat die San Francisco 49ers vor dem Super Bowl angegriffen

11

Die San Francisco 49ers bestätigen, dass sie Stunden vor Beginn des Super Bowl angegriffen wurden. Die BlackByte-Ransomware-Bande übernimmt die Verantwortung.

In einer offiziellen Erklärung sagte das Team : „Es wurde kürzlich auf einen Netzwerksicherheitsvorfall aufmerksam“, der eine Störung in ihrem Unternehmensnetzwerk verursachte. Die Gruppe stahl die Finanzdokumente des Teams.

Der Sprecher der San Francisco 49ers sagte, dass, nachdem sie von dem Cyberangriff erfahren hatten, externe Cybersicherheitsfirmen beteiligt waren, um den Angriff einzudämmen, und dass auch die Strafverfolgungsbehörden informiert wurden.

„Während die Untersuchung noch andauert, glauben wir, dass der Vorfall auf unser Unternehmens-IT-Netzwerk beschränkt ist. Bis heute haben wir keinen Hinweis darauf, dass dieser Vorfall Systeme außerhalb unseres Unternehmensnetzwerks betrifft, wie z. B. solche, die mit dem Betrieb von Ticketinhabern im Levi's-Stadion verbunden sind. Während die Untersuchung weitergeht, arbeiten wir fleißig daran, die beteiligten Systeme so schnell und sicher wie möglich wiederherzustellen“, sagte der Sprecher der San Francisco 49ers.

Nach dem Vorfall tauchten die San Francisco 49ers am Sonntag auch auf der Seite der BlackByte-Ransomware-Gang auf. Die Gruppe veröffentlichte einige gestohlene Dokumente des Teams im Dark Web in einer Datei mit dem Namen „2020-Rechnungen“. Die Ransomware-Gang hat keine Ransomware-Forderung erhoben und nicht angegeben, wie viele Daten gestohlen wurden.

Die San Francisco 49ers tauchten auf der offiziellen Leak-Seite von BlackByte auf. (Bild: ZDNet)

Der Angriff auf die San Francisco 49ers erfolgte einen Tag nach der Warnung des FBI vor der Ransomware-Bande BlackByte. Laut der Warnung des FBI:

„Bis November 2021 hatte die BlackByte-Ransomware mehrere US-amerikanische und ausländische Unternehmen kompromittiert, darunter Unternehmen in mindestens drei kritischen US-Infrastruktursektoren (Regierungseinrichtungen, Finanzen sowie Lebensmittel und Landwirtschaft). BlackByte ist eine Ransomware as a Service (RaaS)-Gruppe, die Dateien auf kompromittierten Windows-Hostsystemen verschlüsselt, einschließlich physischer und virtueller Server.“

Laut dem Bericht des FBI nutzen die  Angreifer Schwachstellen von Microsoft Exchange, um auf Netzwerke zuzugreifen. Sobald sie Zugriff auf das Netzwerk haben, können Hacker verschiedene Tools einsetzen, um sich über das Netzwerk zu bewegen, um „ Berechtigungen zu eskalieren, bevor Dateien verschlüsselt werden „. In einigen Vorfällen hat die BlackByte-Ransomware-Gruppe nur teilweise verschlüsselte Dateien.

Ein Bericht von Red Canary zeigte, dass die BlackByte-Ransomware Zugriff auf das Netzwerk erlangte, indem sie die ProxyShell-Schwachstellen auf dem Microsoft Exchange-Server eines Kunden ausnutzte. Zu diesen Schwachstellen gehören CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.

Die Ransomware-Gruppe BlackByte tauchte letztes Jahr mit hochkarätigen Zielen in den USA auf. Untersuchungen von Trustwave haben gezeigt, dass die Ransomware BlackByte denselben Schlüssel verwendet, um gestohlene Dateien in AES zu verschlüsseln. Anstatt für jede Sitzung einen eindeutigen Schlüssel zu verwenden, verwendet die Gruppe denselben Schlüssel. Trustwave hat auch einen BlackByte-Entschlüsseler auf GitHub hochgeladen.

Laut FBI wurde die zweite Version der Ransomware im November veröffentlicht. Brett Callow, der Ransomware-Experte von Emsisoft, sagte, dass BlackByte eine Ransomware-as-a-Service (RaaS)-Operation ist und die Bedrohungsakteure, die es zur Durchführung von Cyberangriffen verwenden, nicht unbedingt im selben Land angeklagt sein müssen.

Callow sagte, dass BlackByte wie andere Arten von Ransomware „keine Computer verschlüsselt, die die Sprache Russlands und postsowjetischer Länder verwenden „. Er sagte, dies bedeute nicht, dass die Angreifer hinter diesem Vorfall in Russland seien. „ Jeder kann die Malware verwenden, um Angriffe zu starten „, sagt Callow.

Ransomware-Gruppen haben in den letzten Monaten mit hochkarätigen Zielen Chaos angerichtet. Einige hochkarätige Fälle in diesem Monat sind der Angriff von Vodafone Portugal und der Cyberangriff auf belgische und niederländische Häfen.

Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern. Wir gehen davon aus, dass Sie damit einverstanden sind, Sie können sich jedoch abmelden, wenn Sie möchten. AnnehmenWeiterlesen