勒索軟件簡介：BlackMatter

BlackMatter 是一種勒索軟件，它會(huì)加密文件并威脅如果不支付贖金就會(huì)泄露被盜數(shù)據(jù)。該集團(tuán)以年收入超過1億美元的大公司為目標(biāo)，并在擴(kuò)大業(yè)務(wù)的同時(shí)積極招募附屬公司。由于兩個(gè)勒索軟件組織都采用了獨(dú)特的加密程序，BlackMatter可能是現(xiàn)已解散的網(wǎng)絡(luò)犯罪組織DarkSide的品牌重塑或衍生產(chǎn)品。

BlackMatter是什么?

BlackMatter是一種勒索軟件變體，它使用Salsa20和1024位RSA加密文件，并需要大量加密貨幣進(jìn)行解密。

與許多其他勒索軟件組織一樣，BlackMatter通過泄露數(shù)據(jù)的威脅來增加獲得支付的機(jī)會(huì)。在執(zhí)行最后一個(gè)勒索軟件有效載荷之前，BlackMatter的操作人員會(huì)從被入侵的系統(tǒng)中竊取數(shù)據(jù)，并威脅稱，除非受害者支付贖金，否則就會(huì)在該組織的泄露網(wǎng)站上公布數(shù)據(jù)。

BlackMatter作為一種勒索軟件即服務(wù) (RaaS) 運(yùn)行，在這種商業(yè)模式下，分支機(jī)構(gòu)只要將惡意軟件投放到受損的系統(tǒng)上，就可以獲得一部分贖金。BlackMatter還與初始接入經(jīng)紀(jì)人合作，這些人愿意出售接入受損網(wǎng)絡(luò)的權(quán)限。根據(jù)目標(biāo)的不同，初始接入代理將獲得3000至10萬美元的網(wǎng)絡(luò)接入費(fèi)用。

BlackMatter和DarkSide之間可能存在聯(lián)系

DarkSide是2021年5月Colonial Pipeline襲擊的勒索軟件團(tuán)伙，該襲擊導(dǎo)致美國各地燃料短缺和價(jià)格飆升。在美國和俄羅斯當(dāng)局前所未有的壓力下，DarkSide被迫在幾周后關(guān)閉了其運(yùn)營。

有證據(jù)表明DarkSide，或者至少是DarkSide的一些成員，可能以BlackMatter的綽號(hào)回歸。在調(diào)查了泄露的BlackMatter解密器后，Emsisoft的分析師確定BlackMatter使用了 DarkSide以前在攻擊中使用的相同加密例程，包括DarkSide獨(dú)有的定制的Salsa20 矩陣。

BlackMatter的歷史

BlackMatter于2021年7月下旬首次被觀察到，當(dāng)時(shí)別名“BlackMatter”在俄語網(wǎng)絡(luò)犯罪論壇XSS和Exploit上注冊。用戶將4個(gè)比特幣(當(dāng)時(shí)價(jià)值約 150,000 美元)存入其 Exploit 托管賬戶，表明他們作為威脅參與者的合法性和嚴(yán)肅性。不久之后，該用戶發(fā)布了一則廣告，提供初始訪問經(jīng)紀(jì)人3,000至100,000美元用于訪問符合該組標(biāo)準(zhǔn)的公司網(wǎng)絡(luò)。

2021年9月上旬，美國衛(wèi)生與公眾服務(wù)部的衛(wèi)生部門網(wǎng)絡(luò)安全協(xié)調(diào)委員會(huì)發(fā)布了一份關(guān)于 BlackMatter的威脅簡報(bào)。

自 BlackMatter 首次被發(fā)現(xiàn)以來，已有44份提交給 ID Ransomware。(ID Ransomware 是一種在線工具，可幫助勒索軟件的受害者識(shí)別哪些勒索軟件對(duì)其文件進(jìn)行了加密。)

估計(jì)只有25%的受害者向 ID Ransomware 提交了申請(qǐng)，這意味著自勒索軟件出現(xiàn)以來，總共可能發(fā)生了176起 BlackMatter 事件。在此期間，該組織還在其泄密網(wǎng)站上公布了10個(gè)組織的被盜數(shù)據(jù)。

BlackMatter 贖金記錄

加密過程完成后，BlackMatter 會(huì)在用戶可訪問的文件夾中放置贖金通知，并將桌面壁紙更改為贖金通知。某些版本的勒索軟件還會(huì)通過從每個(gè)受感染的端點(diǎn)向默認(rèn)打印機(jī)發(fā)送打印作業(yè)來打印贖勒索信的物理副本。

勒索信指出受害者的文件已被加密，并提供了有關(guān)如何與攻擊者通信的說明。該說明還指定了在攻擊期間被盜的數(shù)據(jù)類型，以及“保證”威脅行為者將通過解密受害者的文件并在收到付款后刪除泄露的數(shù)據(jù)來維護(hù)他們的交易目的。

以下是 BlackMatter 贖金票據(jù)示例：

BLACK

Matter

>>> What happens?

Your network is encrypted, and currently not operational. We have downloaded 1TB from your fileserver.

We need only money, after payment we will give you a decryptor for the entire network and you will restore all the data.

>>> What guarantees?

We are not a politically motivated group and we do not need anything other than your money.

If you pay, we will provide you the programs for decryption and we will delete your data.

If we do not give you decrypters or we do not delete your data, no one will pay us in the future, this does not comply with our goals.

We always keep our promises.

>> Data leak includes

Full emloyeers personal data

Network information

[REDACTED]

Finance info

>>> How to contact with us?

Download and install TOR Browser (hxxps://www.torproject.org/).

Open [URL REDACTED].

>>> Warning! Recovery recommendations.

We strongly recommend you to do not MODIFY or REPAIR your files, that will damage them.

BlackMatter 的目標(biāo)是誰?

BlackMatter針對(duì)的目標(biāo)是資源豐富的大型企業(yè)。該集團(tuán)擁有攻擊位于美國，英國，加拿大，澳大利亞，印度，巴西，智利和泰國的企業(yè)，但受影響的國家還在增加。

BlackMatter組織開發(fā)了適用于Windows和Linux的勒索軟件版本，使攻擊者能夠攻擊基于Linux的環(huán)境，包括ESXi、Ubuntu、Debian和CentOS。

BlackMatter 聲稱它不會(huì)攻擊某些行業(yè)，因?yàn)檫@樣做會(huì)引起不必要的關(guān)注。這包括：

醫(yī)院

關(guān)鍵基礎(chǔ)設(shè)施(核電站、發(fā)電廠、水處理設(shè)施)

石油和天然氣工業(yè)(管道、煉油廠)

國防工業(yè)

非營利公司

政府部門

如果這些行業(yè)之一的實(shí)體受到攻擊(可能是無意中或由一個(gè)粗心的附屬機(jī)構(gòu))，該組織聲稱它將提供免費(fèi)解密。

但網(wǎng)絡(luò)犯罪集團(tuán)提出的任何聲明都應(yīng)該受到懷疑。此外，即使該組織確實(shí)向受影響的實(shí)體提供免費(fèi)解密，恢復(fù)可能仍需要數(shù)天、數(shù)周或數(shù)月才能完成。此類事件可能導(dǎo)致重大中斷和經(jīng)濟(jì)損失;在醫(yī)療保健領(lǐng)域，這可能意味著喪失生命。

BlackMatter是如何傳播的?

BlackMatter 攻擊從破壞目標(biāo)網(wǎng)絡(luò)開始，通常是通過受損的遠(yuǎn)程桌面協(xié)議、網(wǎng)絡(luò)釣魚活動(dòng)、利用已知漏洞或被盜憑據(jù)。因此，減少軟件安全漏洞，在軟件開發(fā)過程中通過靜態(tài)代碼檢測工具查找編碼缺陷和安全漏洞，可以降低企業(yè)遭到BlackMatter 攻擊的風(fēng)險(xiǎn)。

BlackMatter 執(zhí)行時(shí)，會(huì)驗(yàn)證當(dāng)前用戶的權(quán)限。如果權(quán)限受到用戶帳戶控制的限制，惡意軟件會(huì)嘗試使用 ICMLuaUtil COM 接口提升其權(quán)限。DarkSide 和 LockBit 使用了相同的技術(shù)。在獲得必要的權(quán)限后，BlackMatter 會(huì)終止一些與生產(chǎn)力相關(guān)的進(jìn)程并刪除目標(biāo)目錄的卷影副本。在加密開始之前，攻擊者還會(huì)竊取數(shù)據(jù)，作為額外的手段來迫使受害者支付贖金。

在加密期間，BlackMatter 會(huì)嘗試掛載和加密未掛載的分區(qū)。它的目標(biāo)是存儲(chǔ)在本地和網(wǎng)絡(luò)共享上的文件，以及可移動(dòng)媒體，而忽略特定的目錄、文件和文件擴(kuò)展名，這些是設(shè)備運(yùn)行所必需的。

由于 BlackMatter 作為 RaaS 運(yùn)行并且可以由許多不同的附屬機(jī)構(gòu)分發(fā)，因此攻擊的確切結(jié)構(gòu)可能因事件而異。

主要 BlackMatter 攻擊

奧林巴斯：2021年9月，日本科技巨頭奧林巴斯受到 BlackMatter 的打擊。在檢測到歐洲、非洲和中東網(wǎng)絡(luò)上的可疑活動(dòng)后，該公司被迫暫停受影響系統(tǒng)中的數(shù)據(jù)傳輸，作為預(yù)防措施。動(dòng)員了一個(gè)專門的響應(yīng)小組來解決這個(gè)問題。

如何保護(hù)網(wǎng)絡(luò)免受 BlackMatter 和其他勒索軟件的侵害

1.由于大多數(shù)勒索軟件是通過用戶發(fā)起的行為傳播的，因此企業(yè)或組織應(yīng)實(shí)施側(cè)重于向最終用戶傳授網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)的培訓(xùn)計(jì)劃。勒索軟件和傳播方法在不斷發(fā)展，因此培訓(xùn)必須是一個(gè)持續(xù)的過程，以確保最終用戶能夠應(yīng)對(duì)當(dāng)前的威脅。

2.實(shí)行良好的憑證衛(wèi)生有助于防止暴力攻擊，減輕憑證盜竊的影響并降低未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問風(fēng)險(xiǎn)。

3.MFA 提供了額外的安全層，可以幫助防止對(duì)帳戶、工具、系統(tǒng)和數(shù)據(jù)存儲(chǔ)庫的未授權(quán)訪問。企業(yè)應(yīng)考慮盡可能啟用 MFA。

4.各種規(guī)模的組織都應(yīng)該有一個(gè)強(qiáng)大的補(bǔ)丁管理策略，以確保盡快應(yīng)用所有端點(diǎn)、服務(wù)器和設(shè)備上的安全更新，以最大限度地減少攻擊機(jī)會(huì)。當(dāng)然，若能在軟件開發(fā)期間就及時(shí)修正可見安全漏洞，如通過靜態(tài)代碼分析技術(shù)等發(fā)現(xiàn)問題并改正，可以減少軟件中的安全漏洞，同時(shí)減少補(bǔ)丁數(shù)量。

5.備份是減輕勒索軟件事件影響的最有效方法之一。許多勒索軟件可以在網(wǎng)絡(luò)中橫向傳播并加密本地存儲(chǔ)的備份，因此組織應(yīng)該使用混合媒體存儲(chǔ)，并在現(xiàn)場和異地存儲(chǔ)備份副本。

6.加固網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)和應(yīng)用程序?qū)τ跍p少攻擊面和管理潛在的安全漏洞至關(guān)重要。禁用不需要的和可能被利用的服務(wù)，例如 PowerShell、RDP、Windows Script Host、Microsoft Office 宏等，可以降低初始感染的風(fēng)險(xiǎn)，同時(shí)實(shí)施最小權(quán)限原則可以幫助防止橫向移動(dòng)。

7.許多勒索軟件系列是通過宏嵌入的 Microsoft Office 或 PDF 文檔提供的。組織應(yīng)該審查他們對(duì)宏的使用，考慮阻止Internet上的所有宏，并且只允許從受信任的位置執(zhí)行經(jīng)過審查和批準(zhǔn)的宏。

8.組織可以使用各種電子郵件身份驗(yàn)證技術(shù)(例如發(fā)件人策略框架、域密鑰識(shí)別郵件和基于域的郵件身份驗(yàn)證、報(bào)告和一致性)來檢測電子郵件欺騙并識(shí)別可疑郵件。

9.有效的網(wǎng)絡(luò)隔離有助于控制事件、防止惡意軟件傳播并減少對(duì)更廣泛業(yè)務(wù)的干擾。

10.各種規(guī)模的組織都必須有適當(dāng)?shù)南到y(tǒng)來監(jiān)控可能的數(shù)據(jù)泄露渠道并立即響應(yīng)可疑活動(dòng)。

企業(yè)除了做好以上各種防御措施，還應(yīng)制定全面的事件響應(yīng)計(jì)劃?？焖夙憫?yīng)有助于防止惡意軟件傳播，最大限度地減少中斷并確保盡可能有效地修復(fù)事件。

文章來源：

https://blog.emsisoft.com/en/39121/ransomware-profile-blackmatter/