據security affairs消息，聯邦調查局(FBI)、網絡安全和基礎設施安全局(CISA)、美國國家安全局(NSA)聯合發布了一份“關于BlackMatter勒索軟件團伙”的運作咨詢報告，并提供了相應的防護建議。

該報告詳細介紹了關于BlackMatter勒索軟件團伙，在戰術、技術和程序(TTPs)方面的信息。而BlackMatter 勒索軟件的樣本分析全部來自于可信的第三方報告。

[[430384]]

2021年7月，BlackMatter勒索軟件團伙啟動運營，該團伙聲稱自己是Darkside和REvil團伙的繼承者。與其他勒索軟件的業務一樣，BlackMatter也建立了自己的網站，公布那些從個人/企業竊取的數據和隱私信息，并且還會加密他們的文件和系統。

Recorded Future 公司的安全研究人員最早發現了BlackMatter勒索軟件即服務(RaaS)，他們還發現，該勒索團隊已經在Exploit 和 XSS兩大犯罪網站上建立了一個子網站來進行宣傳。

該團伙的攻擊目標為那些年收入超1億美元的大型企業，并且正四處尋找這些企業的網絡漏洞，試圖通過勒索軟件進行感染。目前，BlackMatter勒索軟件的活躍地區包括美國、英國、加拿大和澳大利亞等。

BlackMatter勒索軟件運營商宣布，他們不會針對醫療保健組織、關鍵基礎設施、國防軍工組織以及其他非營利性公司。2021年8月，該團隊成功制造了一個Linux加密器，將目標瞄準了VMwareESXi虛擬機平臺。

截止到目前，BlackMatter運營商已經連續攻擊美國多家企業，每次攻擊贖金8-1500萬美元不等，且必須要以Bitcoin 和 Monero支付。

通過嵌入或以往泄露的憑證信息，BlackMatter常利用輕量級目錄訪問協議(LDAP)和服務器消息塊(SMB)訪問活動目錄協議(AD)，借此發現網絡上所有的主機。然后，BlackMatter就可以遠程加密主機和共享驅動器。

安全研究人員分析了相關樣本之后，這才發現了BlackMatter運營商的騷操作。他們常使用泄露的管理員憑證來掃描受害者活動目錄中的所有主機。同時，惡意代碼還使用了微軟遠程過程調用(MSRPC)函數，這樣即可允許列出每個主機可訪問的共享網絡。

FBI、CISA、NSA三大部門也聯合發出了警告，“BlackMatter勒索軟件的變體使用了嵌入式管理或之前已經泄露的用戶憑證，NtQuerySystemInformation函數，以及EnumServicesStatusExW，分別枚舉出正在運行的進程和服務。BlackMatter通過LDAP和SMB中的嵌入式憑據發現AD中的所有主機，并srvsvc.NetShareEnumAll 微軟遠程過程調用(MSRPC)函數，以枚舉每個主機可訪問的共享網絡。”

BlackMatter勒索軟件的運營者對linux系統的機器單獨使用加密的二進制文件，也可以加密ESXi虛擬機。安全專家注意到，BlackMatter勒索軟件的運營者的做法是格式化備份數據，而不是對備份系統進行加密。當然，企業安全人員也可以使用Snort簽名來檢測和BlackMatter有關的網絡活動。

針對日益猖獗的BlackMatter勒索軟件，FBI、CISA和NSA給出了建議，并督促企業安全人員采納以下措施，降低BlackMatter勒索軟件攻擊的風險：

• 實施檢測簽名;
• 使用更安全的密碼;
• 實施多因素認證;
• 及時更新系統和打補丁;
• 限制網絡對資源的訪問;
• 將網絡進行分割和監控;
• 使用管理員禁用工具應對身份和特權訪問管理;
• 強制執行備份、恢復的政策和程序;

美國也大力督促關鍵基礎設施采用以下建議，減少被勒索軟件攻擊的風險：

• 禁止在LSASS中存儲純文本密碼;
• 限制或禁用局域網新技術管理器(NTLM)和WDigest身份驗證;
• 為Windows10和Server2016建立憑證保護，為本地安全驗證啟用微軟系統進程保護機制;
• 盡量減少AD攻擊面

此外，他們還提供了不少勒索攻擊應急響應的建議：

• 遵循CISA-多狀態信息共享和分析中心(MS-ISAC)聯合勒索軟件指南第11頁的勒索軟件應急響應檢查表;
• 掃描備份;
• 立即向FBI分局、CISA或美國特情局辦公室報告事件;
• 立即應用報告中所提到的突發事件最佳實踐，這份報告由CISA和澳大利亞、加拿大、新西蘭和英國的網絡安全當局聯合發布。

參考來源：

https://securityaffairs.co/wordpress/123549/cyber-crime/blackmatter-ransomware-joint-advisory.html