据安全事务消息,美国联邦调查局(FBI)、网络安全与基础设施安全局(CISA)和美国国家安全局(NSA)联合发布了一份关于“BlackMatter勒索团伙”的运营咨询报告,并提供了相应的防护建议。该报告详细介绍了BlackMatter勒索软件团伙的策略、技术和程序(TTP)。对BlackMatter勒索软件样本的分析均来自可信的第三方报告。2021年7月,BlackMatter勒索软件团伙发起行动,自称是Darkside和REvil团伙的继任者。与其他勒索软件企业一样,BlackMatter也建立了自己的网站,公布从个人/企业窃取的数据和私人信息,并对他们的文件和系统进行加密。RecordedFuture的安全研究人员是第一个发现BlackMatter勒索软件即服务(RaaS)的人,他们还发现勒索软件团队在两个主要的犯罪网站Exploit和XSS上设置了一个子站点来推广它。该组织以年收入超过1亿美元的大公司为目标,并正在寻找这些公司网络中的漏洞,试图用勒索软件感染它们。目前,BlackMatter勒索软件活跃于美国、英国、加拿大和澳大利亚。BlackMatter勒索软件运营商已宣布他们不会针对医疗保健组织、关键基础设施、国防工业组织和其他非营利性公司。2021年8月,团队成功创建了针对VMwareESXi虚拟机平台的Linux加密器。迄今为止,BlackMatter运营商已先后对美国多家公司发起攻击,每次攻击的赎金在8至1500万美元不等,且必须以比特币和门罗币支付。通过嵌入或先前泄露的凭据信息,BlackMatter经常使用轻量级目录访问协议(LDAP)和服务器消息块(SMB)访问活动目录协议(AD),从而发现网络上的所有主机。然后BlackMatter可以远程加密主机和共享驱动器。直到安全研究人员分析了相关样本后,BlackMatter的操作人员才发现了该操作。他们经常使用受损的管理员凭据来扫描受害者ActiveDirectory中的所有主机。同时,恶意代码还使用了微软的远程过程调用(MSRPC)功能,允许列出每个主机可以访问的共享网络。FBI、CISA和NSA也联合发出警告,“BlackMatter勒索软件的变种使用嵌入式管理或先前泄露的用户凭据、NtQuerySystemInformation函数和EnumServicesStatusExW分别枚举正在运行的进程和服务。BlackMatter发现了AD中的所有主机通过LDAP和SMB中的嵌入式凭据,并使用srvsvc.NetShareEnumAllMicrosoft远程过程调用(MSRPC)函数来枚举每个主机可以访问的共享网络。”BlackMatter勒索软件运营商单独对Linux机器使用加密的二进制文件也可以加密ESXi虚拟机,安全专家注意到,BlackMatter勒索软件运营商对备份数据进行了格式化,而不是对备份系统进行加密,当然企业安全人员也可以使用Snort签名检测与BlackMatter相关的网络活动。针对日益猖獗的BlackMatter勒索软件,FBI、CISA、NSA已给出建议,敦促企业安全人员采取以下措施降低BlackMatter勒索软件攻击的风险:实施检测签名;使用更安全的密码;实施多因素身份验证;及时更新系统和补丁;限制对资源的网络访问;分段和监控网络;使用管理员禁用工具来处理身份和特权访问管理;执行备份和恢复的政策和程序;美国也大力监管关键基础设施使用以下建议降低被勒索软件攻击的风险:禁止在LSASS中存储明文密码;限制或禁用新技术LAN管理器(NTLM)和WDigest身份验证;为Windows10和Server2016建立凭证保护,启用本地安全认证微软系统进程保护机制;最小化AD攻击面此外,他们还提供了很多应急响应勒索攻击的建议:按照CISA-多州信息共享和分析中心(MS-ISAC)联合勒索软件指南第11页的勒索软件事件响应清单;扫描备份;立即将事件报告给FBI部门、CISA或美国特勤局办公室;立即应用CISA与澳大利亚、加拿大、新西兰和英国网络安全局联合发布的报告中的事件最佳实践。参考来源:https://securityaffairs.co/wordpress/123549/cyber-crime/blackmatter-ransomware-joint-advisory.html
