freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

这是一份来自FBI、CISA、NSA的联合报告
2021-10-21 13:35:54

据security affairs消息,联邦调查局(FBI)、网络安全和基础设施安全局(CISA)、美国国家安全局(NSA)联合发布了一份“关于BlackMatter勒索软件团伙”的运作咨询报告,并提供了相应的防护建议。

该报告详细介绍了关于BlackMatter勒索软件团伙,在战术、技术和程序(TTPs)方面的信息。而BlackMatter 勒索软件的样本分析全部来自于可信的第三方报告。

2021年7月,BlackMatter勒索软件团伙启动运营,该团伙声称自己是Darkside和REvil团伙的继承者。与其他勒索软件的业务一样,BlackMatter也建立了自己的网站,公布那些从个人/企业窃取的数据和隐私信息,并且还会加密他们的文件和系统。

Recorded Future 公司的安全研究人员最早发现了BlackMatter勒索软件即服务(RaaS),他们还发现,该勒索团队已经在Exploit 和 XSS两大犯罪网站上建立了一个子网站来进行宣传。

该团伙的攻击目标为那些年收入超1亿美元的大型企业,并且正四处寻找这些企业的网络漏洞,试图通过勒索软件进行感染。目前,BlackMatter勒索软件的活跃地区包括美国、英国、加拿大和澳大利亚等。

BlackMatter勒索软件运营商宣布,他们不会针对医疗保健组织、关键基础设施、国防军工组织以及其他非营利性公司。2021年8月,该团队成功制造了一个Linux加密器,将目标瞄准了VMwareESXi虚拟机平台。

截止到目前,BlackMatter运营商已经连续攻击美国多家企业,每次攻击赎金8-1500万美元不等,且必须要以Bitcoin 和 Monero支付。

通过嵌入或以往泄露的凭证信息,BlackMatter常利用轻量级目录访问协议(LDAP)和服务器消息块(SMB)访问活动目录协议(AD),借此发现网络上所有的主机。然后,BlackMatter就可以远程加密主机和共享驱动器。

安全研究人员分析了相关样本之后,这才发现了BlackMatter运营商的骚操作。他们常使用泄露的管理员凭证来扫描受害者活动目录中的所有主机。同时,恶意代码还使用了微软远程过程调用(MSRPC)函数,这样即可允许列出每个主机可访问的共享网络。

FBI、CISA、NSA三大部门也联合发出了警告,“BlackMatter勒索软件的变体使用了嵌入式管理或之前已经泄露的用户凭证,NtQuerySystemInformation函数,以及EnumServicesStatusExW,分别枚举出正在运行的进程和服务。BlackMatter通过LDAP和SMB中的嵌入式凭据发现AD中的所有主机,并srvsvc.NetShareEnumAll 微软远程过程调用(MSRPC)函数,以枚举每个主机可访问的共享网络。”

BlackMatter勒索软件的运营者对linux系统的机器单独使用加密的二进制文件,也可以加密ESXi虚拟机。安全专家注意到,BlackMatter勒索软件的运营者的做法是格式化备份数据,而不是对备份系统进行加密。当然,企业安全人员也可以使用Snort签名来检测和BlackMatter有关的网络活动。

针对日益猖獗的BlackMatter勒索软件,FBI、CISA和NSA给出了建议,并督促企业安全人员采纳以下措施,降低BlackMatter勒索软件攻击的风险:

实施检测签名;

使用更安全的密码;

实施多因素认证;

及时更新系统和打补丁;

限制网络对资源的访问;

将网络进行分割和监控;

使用管理员禁用工具应对身份和特权访问管理;

强制执行备份、恢复的政策和程序;

美国也大力督促关键基础设施采用以下建议,减少被勒索软件攻击的风险:

禁止在LSASS中存储纯文本密码;

限制或禁用局域网新技术管理器(NTLM)和WDigest身份验证;

为Windows10和Server2016建立凭证保护,为本地安全验证启用微软系统进程保护机制;

尽量减少AD攻击面

此外,他们还提供了不少勒索攻击应急响应的建议:

遵循CISA-多状态信息共享和分析中心(MS-ISAC)联合勒索软件指南第11页的勒索软件应急响应检查表;

扫描备份;

立即向FBI分局、CISA或美国特情局办公室报告事件;

立即应用报告中所提到的突发事件最佳实践,这份报告由CISA和澳大利亚、加拿大、新西兰和英国的网络安全当局联合发布。

参考来源:https://securityaffairs.co/wordpress/123549/cyber-crime/blackmatter-ransomware-joint-advisory.html

# 数据安全 # 勒索软件
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者