據(jù)security affairs消息，聯(lián)邦調(diào)查局(FBI)、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)、美國(guó)國(guó)家安全局(NSA)聯(lián)合發(fā)布了一份“關(guān)于BlackMatter勒索軟件團(tuán)伙”的運(yùn)作咨詢報(bào)告，并提供了相應(yīng)的防護(hù)建議。

該報(bào)告詳細(xì)介紹了關(guān)于BlackMatter勒索軟件團(tuán)伙，在戰(zhàn)術(shù)、技術(shù)和程序(TTPs)方面的信息。而B(niǎo)lackMatter 勒索軟件的樣本分析全部來(lái)自于可信的第三方報(bào)告。

[[430384]]

2021年7月，BlackMatter勒索軟件團(tuán)伙啟動(dòng)運(yùn)營(yíng)，該團(tuán)伙聲稱自己是Darkside和REvil團(tuán)伙的繼承者。與其他勒索軟件的業(yè)務(wù)一樣，BlackMatter也建立了自己的網(wǎng)站，公布那些從個(gè)人/企業(yè)竊取的數(shù)據(jù)和隱私信息，并且還會(huì)加密他們的文件和系統(tǒng)。

Recorded Future 公司的安全研究人員最早發(fā)現(xiàn)了BlackMatter勒索軟件即服務(wù)(RaaS)，他們還發(fā)現(xiàn)，該勒索團(tuán)隊(duì)已經(jīng)在Exploit 和 XSS兩大犯罪網(wǎng)站上建立了一個(gè)子網(wǎng)站來(lái)進(jìn)行宣傳。

該團(tuán)伙的攻擊目標(biāo)為那些年收入超1億美元的大型企業(yè)，并且正四處尋找這些企業(yè)的網(wǎng)絡(luò)漏洞，試圖通過(guò)勒索軟件進(jìn)行感染。目前，BlackMatter勒索軟件的活躍地區(qū)包括美國(guó)、英國(guó)、加拿大和澳大利亞等。

BlackMatter勒索軟件運(yùn)營(yíng)商宣布，他們不會(huì)針對(duì)醫(yī)療保健組織、關(guān)鍵基礎(chǔ)設(shè)施、國(guó)防軍工組織以及其他非營(yíng)利性公司。2021年8月，該團(tuán)隊(duì)成功制造了一個(gè)Linux加密器，將目標(biāo)瞄準(zhǔn)了VMwareESXi虛擬機(jī)平臺(tái)。

截止到目前，BlackMatter運(yùn)營(yíng)商已經(jīng)連續(xù)攻擊美國(guó)多家企業(yè)，每次攻擊贖金8-1500萬(wàn)美元不等，且必須要以Bitcoin 和 Monero支付。

通過(guò)嵌入或以往泄露的憑證信息，BlackMatter常利用輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)和服務(wù)器消息塊(SMB)訪問(wèn)活動(dòng)目錄協(xié)議(AD)，借此發(fā)現(xiàn)網(wǎng)絡(luò)上所有的主機(jī)。然后，BlackMatter就可以遠(yuǎn)程加密主機(jī)和共享驅(qū)動(dòng)器。

安全研究人員分析了相關(guān)樣本之后，這才發(fā)現(xiàn)了BlackMatter運(yùn)營(yíng)商的騷操作。他們常使用泄露的管理員憑證來(lái)掃描受害者活動(dòng)目錄中的所有主機(jī)。同時(shí)，惡意代碼還使用了微軟遠(yuǎn)程過(guò)程調(diào)用(MSRPC)函數(shù)，這樣即可允許列出每個(gè)主機(jī)可訪問(wèn)的共享網(wǎng)絡(luò)。

FBI、CISA、NSA三大部門(mén)也聯(lián)合發(fā)出了警告，“BlackMatter勒索軟件的變體使用了嵌入式管理或之前已經(jīng)泄露的用戶憑證，NtQuerySystemInformation函數(shù)，以及EnumServicesStatusExW，分別枚舉出正在運(yùn)行的進(jìn)程和服務(wù)。BlackMatter通過(guò)LDAP和SMB中的嵌入式憑據(jù)發(fā)現(xiàn)AD中的所有主機(jī)，并srvsvc.NetShareEnumAll 微軟遠(yuǎn)程過(guò)程調(diào)用(MSRPC)函數(shù)，以枚舉每個(gè)主機(jī)可訪問(wèn)的共享網(wǎng)絡(luò)。”

BlackMatter勒索軟件的運(yùn)營(yíng)者對(duì)linux系統(tǒng)的機(jī)器單獨(dú)使用加密的二進(jìn)制文件，也可以加密ESXi虛擬機(jī)。安全專家注意到，BlackMatter勒索軟件的運(yùn)營(yíng)者的做法是格式化備份數(shù)據(jù)，而不是對(duì)備份系統(tǒng)進(jìn)行加密。當(dāng)然，企業(yè)安全人員也可以使用Snort簽名來(lái)檢測(cè)和BlackMatter有關(guān)的網(wǎng)絡(luò)活動(dòng)。

針對(duì)日益猖獗的BlackMatter勒索軟件，F(xiàn)BI、CISA和NSA給出了建議，并督促企業(yè)安全人員采納以下措施，降低BlackMatter勒索軟件攻擊的風(fēng)險(xiǎn)：

• 實(shí)施檢測(cè)簽名;
• 使用更安全的密碼;
• 實(shí)施多因素認(rèn)證;
• 及時(shí)更新系統(tǒng)和打補(bǔ)丁;
• 限制網(wǎng)絡(luò)對(duì)資源的訪問(wèn);
• 將網(wǎng)絡(luò)進(jìn)行分割和監(jiān)控;
• 使用管理員禁用工具應(yīng)對(duì)身份和特權(quán)訪問(wèn)管理;
• 強(qiáng)制執(zhí)行備份、恢復(fù)的政策和程序;

美國(guó)也大力督促關(guān)鍵基礎(chǔ)設(shè)施采用以下建議，減少被勒索軟件攻擊的風(fēng)險(xiǎn)：

• 禁止在LSASS中存儲(chǔ)純文本密碼;
• 限制或禁用局域網(wǎng)新技術(shù)管理器(NTLM)和WDigest身份驗(yàn)證;
• 為Windows10和Server2016建立憑證保護(hù)，為本地安全驗(yàn)證啟用微軟系統(tǒng)進(jìn)程保護(hù)機(jī)制;
• 盡量減少AD攻擊面

此外，他們還提供了不少勒索攻擊應(yīng)急響應(yīng)的建議：

• 遵循CISA-多狀態(tài)信息共享和分析中心(MS-ISAC)聯(lián)合勒索軟件指南第11頁(yè)的勒索軟件應(yīng)急響應(yīng)檢查表;
• 掃描備份;
• 立即向FBI分局、CISA或美國(guó)特情局辦公室報(bào)告事件;
• 立即應(yīng)用報(bào)告中所提到的突發(fā)事件最佳實(shí)踐，這份報(bào)告由CISA和澳大利亞、加拿大、新西蘭和英國(guó)的網(wǎng)絡(luò)安全當(dāng)局聯(lián)合發(fā)布。

參考來(lái)源：

https://securityaffairs.co/wordpress/123549/cyber-crime/blackmatter-ransomware-joint-advisory.html