据security affairs联邦调查局新闻(FBI)、网络安全和基础设施安全局(CISA)、美国国家安全局(NSA)联合发布了一份“关于BlackMatter勒索软件团伙”操作咨询报告,并提供相应的保护建议。
报告详细介绍了BlackMatter在战术、技术和程序方面,勒索软件团伙(TTPs)信息的方面BlackMatter 勒索软件的样本分析都来自可信的第三方报告。
2021年7月,BlackMatter勒索软件团伙开始运营,声称自己是Darkside和REvil该团伙的继承人。与其他勒索软件业务一样,BlackMatter也建立了自己的网站,公布那些从个人/企业窃取的数据和隐私信息,并且还会加密他们的文件和系统。
Recorded Future 公司的安全研究人员最早发现了BlackMatter服务是勒索软件(RaaS),他们还发现勒索团队已经在那里了Exploit 和 XSS在两个犯罪网站上建立了一个子网站进行宣传。
该团伙的攻击目标是年收入超过1亿美元的大型企业,正在寻找网络漏洞,试图通过勒索软件进行感染。BlackMatter勒索软件的活跃地区包括美国、英国、加拿大和澳大利亚等。
BlackMatter勒索软件运营商宣布,他们不会针对医疗保健组织、关键基础设施、国防军事组织和其他非营利性公司。该团队于2021年8月成功创建了一个Linux加密器瞄准目标VMwareESXi虚拟机平台。
截至目前,BlackMatter运营商不断攻击美国许多企业,每次都攻击赎金8-1500万美元不等,必须是Bitcoin 和 Monero支付。
通过嵌入或以前泄露的凭证信息,BlackMatter轻量级目录访问协议经常使用(LDAP)服务器消息块(SMB)访问活动目录协议(AD),找到网络上所有的主机。BlackMatter主机和共享驱动器可以远程加密。
安全研究人员分析相关样本后,才发现BlackMatter运营商的骚操作。他们经常使用泄露的管理员凭证来扫描受害者活动目录中的所有主机。同时,恶意代码还使用微软远程调用(MSRPC)函数允许列出每个主机可访问的共享网络。
FBI、CISA、NSA三个部门也联合发出警告,“BlackMatter勒索软件的变体使用嵌入式管理或之前泄露的用户凭证,NtQuerySystemInformation函数,以及EnumServicesStatusExW,列举正在运行的过程和服务。BlackMatter通过LDAP和SMB发现嵌入式凭证AD所有主机,和srvsvc.NetShareEnumAll 微软远程调用(MSRPC)以枚举每个主机可访问的共享网络。”
BlackMatter勒索软件的运营商是对的linux该系统的机器可以单独使用加密的二进制文件或加密ESXi虚拟机。安全专家注意到,BlackMatter勒索软件运营商的做法是格式化备份数据,而不是加密备份系统。当然,企业安全人员也可以使用Snort签名检测和BlackMatter相关网络活动。
针对日益猖獗的问题BlackMatter勒索软件,FBI、CISA和NSA提出建议,督促企业安全人员采取以下措施减少BlackMatter勒索软件攻击的风险:
- 实施检测签名;
- 使用更安全的密码;
- 实施多因素认证;
- 及时更新系统和补丁;
- 限制网络对资源的访问;
- 将网络进行分割和监控;
- 使用管理员禁用工具进行身份和特权访问管理;
- 执行备份和恢复的政策和程序;
美国还大力督促关键基础设施采取以下建议,降低被勒索软件攻击的风险:
- 禁止在LSASS存储纯文本密码;
- 限制或禁止局域网新技术管理器(NTLM)和WDigest身份验证;
- 为Windows10和Server2016建立微软系统流程保护机制,用于本地安全验证;
- 尽量减少AD攻击面
此外,他们还提供了许多关于勒索攻击应急响应的建议:
- 遵循CISA-多状态信息共享与分析中心(MS-ISAC)联合勒索软件指南第11页的勒索软件应急响应检查表;
- 扫描备份;
- 立即向FBI分局、CISA或美国特情局办公室报告事件;
- 本报告由立即应用报告中提到的紧急情况的最佳实践CISA网络安全当局与澳大利亚、加拿大、新西兰和英国联合发布。
参考来源:
https://securityaffairs.co/wordpress/123549/cyber-crime/blackmatter-ransomware-joint-advisory.html