FBI 警示：BlackByte 勒贖攻擊已駭入多個美國關鍵基礎設施內網 @ 台灣電腦網路危機處理暨協調中心-TWCERT/CC

美國聯邦調查局（Federal Bureau of Investigation, FBI）日前發布資安通報，指出一個名為 BlackByte 的勒贖團體，過去三個月來已入侵至少三個美國關鍵基礎設施機關的內部網路。

這份由 FBI 與美國特勤局（U.S. Secret Services）共同發表的資安通報中指出，截至去（2021）年 11 月止，BlackByte 攻擊至少三個美國關鍵基礎設施，包括政府機關、財政，以及食物暨農產品機關，以及多家外國企業。

報告也指出，BlackByte 勒贖團體是個「勒贖即服務」（Ransomware as a Service, RaaS）平台，專門攻擊各種實體或虛擬的 Windows host 系統。

報告中也提供「駭侵攻擊指標」(Indicators of Compromise），供系統管理者評估，及早發現遭駭跡象，並立即應對防範。這些跡象包括在某些指定目錄內出現的特定資料夾及檔案，這些是 BlackByte 駭入後會新增的檔案與資料夾。

報告內也詳列上述新增檔案的 MD5 雜湊值列表，供系統管理員比對之用。

報告建議所有系統管理者，應對系統實施定期完整的備份措施，包括異地備份、離線並以密碼保護備份檔案，且在原系統更新、修改或受攻擊時亦應確保備份檔不受影響。

此外，也應確保系統之間的相互隔離，無法直接存取，並定期在所有裝置上安裝並更新必要的防毒防駭軟體與作業系統；也應密集檢查網域、目錄伺服器或各裝置上是否出現不明新帳號。未使用的 RDP 與遠端遙控界面也應全數關閉，並禁止在 Email 中顯示可點按的連結等。