据security affairs消息,联邦调查局(FBI)、网络安全和基础设施安全局(CISA)、美国国家安全局(NSA)联合发布了一份“关于BlackMatter勒索软件团伙”的运作咨询报告,并提供了相应的防护建议。
该报告详细介绍了关于BlackMatter勒索软件团伙,在战术、技术和程序(TTPs)方面的信息。而BlackMatter 勒索软件的样本分析全部来自于可信的第三方报告。
2021年7月,BlackMatter勒索软件团伙启动运营,该团伙声称自己是Darkside和REvil团伙的继承者。与其他勒索软件的业务一样,BlackMatter也建立了自己的网站,公布那些从个人/企业窃取的数据和隐私信息,并且还会加密他们的文件和系统。
Recorded Future 公司的安全研究人员最早发现了BlackMatter勒索软件即服务(RaaS),他们还发现,该勒索团队已经在Exploit 和 XSS两大犯罪网站上建立了一个子网站来进行宣传。
该团伙的攻击目标为那些年收入超1亿美元的大型企业,并且正四处寻找这些企业的网络漏洞,试图通过勒索软件进行感染。目前,BlackMatter勒索软件的活跃地区包括美国、英国、加拿大和澳大利亚等。
BlackMatter勒索软件运营商宣布,他们不会针对医疗保健组织、关键基础设施、国防军工组织以及其他非营利性公司。2021年8月,该团队成功制造了一个Linux加密器,将目标瞄准了VMwareESXi虚拟机平台。
截止到目前,BlackMatter运营商已经连续攻击美国多家企业,每次攻击赎金8-1500万美元不等,且必须要以Bitcoin 和 Monero支付。
通过嵌入或以往泄露的凭证信息,BlackMatter常利用轻量级目录访问协议(LDAP)和服务器消息块(SMB)访问活动目录协议(AD),借此发现网络上所有的主机。然后,BlackMatter就可以远程加密主机和共享驱动器。
安全研究人员分析了相关样本之后,这才发现了BlackMatter运营商的骚操作。他们常使用泄露的管理员凭证来扫描受害者活动目录中的所有主机。同时,恶意代码还使用了微软远程过程调用(MSRPC)函数,这样即可允许列出每个主机可访问的共享网络。
FBI、CISA、NSA三大部门也联合发出了警告,“BlackMatter勒索软件的变体使用了嵌入式管理或之前已经泄露的用户凭证,NtQuerySystemInformation函数,以及EnumServicesStatusExW,分别枚举出正在运行的进程和服务。BlackMatter通过LDAP和SMB中的嵌入式凭据发现AD中的所有主机,并srvsvc.NetShareEnumAll 微软远程过程调用(MSRPC)函数,以枚举每个主机可访问的共享网络。”
BlackMatter勒索软件的运营者对linux系统的机器单独使用加密的二进制文件,也可以加密ESXi虚拟机。安全专家注意到,BlackMatter勒索软件的运营者的做法是格式化备份数据,而不是对备份系统进行加密。当然,企业安全人员也可以使用Snort签名来检测和BlackMatter有关的网络活动。
针对日益猖獗的BlackMatter勒索软件,FBI、CISA和NSA给出了建议,并督促企业安全人员采纳以下措施,降低BlackMatter勒索软件攻击的风险:
实施检测签名; 使用更安全的密码; 实施多因素认证; 及时更新系统和打补丁; 限制网络对资源的访问; 将网络进行分割和监控; 使用管理员禁用工具应对身份和特权访问管理; 强制执行备份、恢复的政策和程序;
美国也大力督促关键基础设施采用以下建议,减少被勒索软件攻击的风险:
禁止在LSASS中存储纯文本密码; 限制或禁用局域网新技术管理器(NTLM)和WDigest身份验证; 为Windows10和Server2016建立凭证保护,为本地安全验证启用微软系统进程保护机制; 尽量减少AD攻击面
此外,他们还提供了不少勒索攻击应急响应的建议:
遵循CISA-多状态信息共享和分析中心(MS-ISAC)联合勒索软件指南第11页的勒索软件应急响应检查表; 扫描备份; 立即向FBI分局、CISA或美国特情局办公室报告事件; 立即应用报告中所提到的突发事件最佳实践,这份报告由CISA和澳大利亚、加拿大、新西兰和英国的网络安全当局联合发布。