这是一份来自FBI、CISA、NSA的联合报告

安全
该报告详细介绍了关于BlackMatter勒索软件团伙,在战术、技术和程序(TTPs)方面的信息。

据security affairs消息,联邦调查局(FBI)、网络安全和基础设施安全局(CISA)、美国国家安全局(NSA)联合发布了一份“关于BlackMatter勒索软件团伙”的运作咨询报告,并提供了相应的防护建议。

该报告详细介绍了关于BlackMatter勒索软件团伙,在战术、技术和程序(TTPs)方面的信息。而BlackMatter 勒索软件的样本分析全部来自于可信的第三方报告。

[[430384]]

2021年7月,BlackMatter勒索软件团伙启动运营,该团伙声称自己是Darkside和REvil团伙的继承者。与其他勒索软件的业务一样,BlackMatter也建立了自己的网站,公布那些从个人/企业窃取的数据和隐私信息,并且还会加密他们的文件和系统。

Recorded Future 公司的安全研究人员最早发现了BlackMatter勒索软件即服务(RaaS),他们还发现,该勒索团队已经在Exploit 和 XSS两大犯罪网站上建立了一个子网站来进行宣传。

该团伙的攻击目标为那些年收入超1亿美元的大型企业,并且正四处寻找这些企业的网络漏洞,试图通过勒索软件进行感染。目前,BlackMatter勒索软件的活跃地区包括美国、英国、加拿大和澳大利亚等。

BlackMatter勒索软件运营商宣布,他们不会针对医疗保健组织、关键基础设施、国防军工组织以及其他非营利性公司。2021年8月,该团队成功制造了一个Linux加密器,将目标瞄准了VMwareESXi虚拟机平台。

截止到目前,BlackMatter运营商已经连续攻击美国多家企业,每次攻击赎金8-1500万美元不等,且必须要以Bitcoin 和 Monero支付。

通过嵌入或以往泄露的凭证信息,BlackMatter常利用轻量级目录访问协议(LDAP)和服务器消息块(SMB)访问活动目录协议(AD),借此发现网络上所有的主机。然后,BlackMatter就可以远程加密主机和共享驱动器。

安全研究人员分析了相关样本之后,这才发现了BlackMatter运营商的骚操作。他们常使用泄露的管理员凭证来扫描受害者活动目录中的所有主机。同时,恶意代码还使用了微软远程过程调用(MSRPC)函数,这样即可允许列出每个主机可访问的共享网络。

FBI、CISA、NSA三大部门也联合发出了警告,“BlackMatter勒索软件的变体使用了嵌入式管理或之前已经泄露的用户凭证,NtQuerySystemInformation函数,以及EnumServicesStatusExW,分别枚举出正在运行的进程和服务。BlackMatter通过LDAP和SMB中的嵌入式凭据发现AD中的所有主机,并srvsvc.NetShareEnumAll 微软远程过程调用(MSRPC)函数,以枚举每个主机可访问的共享网络。”

BlackMatter勒索软件的运营者对linux系统的机器单独使用加密的二进制文件,也可以加密ESXi虚拟机。安全专家注意到,BlackMatter勒索软件的运营者的做法是格式化备份数据,而不是对备份系统进行加密。当然,企业安全人员也可以使用Snort签名来检测和BlackMatter有关的网络活动。

针对日益猖獗的BlackMatter勒索软件,FBI、CISA和NSA给出了建议,并督促企业安全人员采纳以下措施,降低BlackMatter勒索软件攻击的风险:

  • 实施检测签名;
  • 使用更安全的密码;
  • 实施多因素认证;
  • 及时更新系统和打补丁;
  • 限制网络对资源的访问;
  • 将网络进行分割和监控;
  • 使用管理员禁用工具应对身份和特权访问管理;
  • 强制执行备份、恢复的政策和程序;

美国也大力督促关键基础设施采用以下建议,减少被勒索软件攻击的风险:

  • 禁止在LSASS中存储纯文本密码;
  • 限制或禁用局域网新技术管理器(NTLM)和WDigest身份验证;
  • 为Windows10和Server2016建立凭证保护,为本地安全验证启用微软系统进程保护机制;
  • 尽量减少AD攻击面

此外,他们还提供了不少勒索攻击应急响应的建议:

  • 遵循CISA-多状态信息共享和分析中心(MS-ISAC)联合勒索软件指南第11页的勒索软件应急响应检查表;
  • 扫描备份;
  • 立即向FBI分局、CISA或美国特情局办公室报告事件;
  • 立即应用报告中所提到的突发事件最佳实践,这份报告由CISA和澳大利亚、加拿大、新西兰和英国的网络安全当局联合发布。

参考来源:

https://securityaffairs.co/wordpress/123549/cyber-crime/blackmatter-ransomware-joint-advisory.html

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-12-27 11:15:01

CISA漏洞Log4j

2023-09-14 12:18:49

网络安全深度伪造

2023-08-04 23:50:56

2017-01-12 22:13:44

2021-10-18 05:21:34

勒索软件攻击数据泄露

2023-09-01 14:02:25

用户分析攻略

2022-08-16 08:07:47

勒索软件风险CISA

2018-07-29 15:33:04

2018-03-09 10:28:30

生态报告签收

2018-10-31 08:39:54

2019-07-16 07:52:49

NumPyPython机器学习

2018-01-30 15:30:05

电商网购消费者

2012-07-11 23:26:10

bug测试

2023-11-15 16:48:32

2020-06-01 15:04:44

甲骨文自治数据库

2014-02-27 08:22:42

2018-12-28 10:31:16

网络故障运营商

2023-05-19 06:53:58

GPT分析报告

2020-05-17 14:44:20

网络安全漏洞技术

2018-04-24 09:17:15

容器原生存储
点赞
收藏

51CTO技术栈公众号