这是一份来自FBI、CISA、NSA的联合报告

据security affairs消息，联邦调查局(FBI)、网络安全和基础设施安全局(CISA)、美国国家安全局(NSA)联合发布了一份“关于BlackMatter勒索软件团伙”的运作咨询报告，并提供了相应的防护建议。

该报告详细介绍了关于BlackMatter勒索软件团伙，在战术、技术和程序(TTPs)方面的信息。而BlackMatter 勒索软件的样本分析全部来自于可信的第三方报告。

2021年7月，BlackMatter勒索软件团伙启动运营，该团伙声称自己是Darkside和REvil团伙的继承者。与其他勒索软件的业务一样，BlackMatter也建立了自己的网站，公布那些从个人/企业窃取的数据和隐私信息，并且还会加密他们的文件和系统。

Recorded Future 公司的安全研究人员最早发现了BlackMatter勒索软件即服务(RaaS)，他们还发现，该勒索团队已经在Exploit 和 XSS两大犯罪网站上建立了一个子网站来进行宣传。

该团伙的攻击目标为那些年收入超1亿美元的大型企业，并且正四处寻找这些企业的网络漏洞，试图通过勒索软件进行感染。目前，BlackMatter勒索软件的活跃地区包括美国、英国、加拿大和澳大利亚等。

BlackMatter勒索软件运营商宣布，他们不会针对医疗保健组织、关键基础设施、国防军工组织以及其他非营利性公司。2021年8月，该团队成功制造了一个Linux加密器，将目标瞄准了VMwareESXi虚拟机平台。

截止到目前，BlackMatter运营商已经连续攻击美国多家企业，每次攻击赎金8-1500万美元不等，且必须要以Bitcoin 和 Monero支付。

通过嵌入或以往泄露的凭证信息，BlackMatter常利用轻量级目录访问协议(LDAP)和服务器消息块(SMB)访问活动目录协议(AD)，借此发现网络上所有的主机。然后，BlackMatter就可以远程加密主机和共享驱动器。

安全研究人员分析了相关样本之后，这才发现了BlackMatter运营商的骚操作。他们常使用泄露的管理员凭证来扫描受害者活动目录中的所有主机。同时，恶意代码还使用了微软远程过程调用(MSRPC)函数，这样即可允许列出每个主机可访问的共享网络。

FBI、CISA、NSA三大部门也联合发出了警告，“BlackMatter勒索软件的变体使用了嵌入式管理或之前已经泄露的用户凭证，NtQuerySystemInformation函数，以及EnumServicesStatusExW，分别枚举出正在运行的进程和服务。BlackMatter通过LDAP和SMB中的嵌入式凭据发现AD中的所有主机，并srvsvc.NetShareEnumAll 微软远程过程调用(MSRPC)函数，以枚举每个主机可访问的共享网络。”

BlackMatter勒索软件的运营者对linux系统的机器单独使用加密的二进制文件，也可以加密ESXi虚拟机。安全专家注意到，BlackMatter勒索软件的运营者的做法是格式化备份数据，而不是对备份系统进行加密。当然，企业安全人员也可以使用Snort签名来检测和BlackMatter有关的网络活动。

针对日益猖獗的BlackMatter勒索软件，FBI、CISA和NSA给出了建议，并督促企业安全人员采纳以下措施，降低BlackMatter勒索软件攻击的风险：

• 实施检测签名;
• 使用更安全的密码;
• 实施多因素认证;
• 及时更新系统和打补丁;
• 限制网络对资源的访问;
• 将网络进行分割和监控;
• 使用管理员禁用工具应对身份和特权访问管理;
• 强制执行备份、恢复的政策和程序;

美国也大力督促关键基础设施采用以下建议，减少被勒索软件攻击的风险：

• 禁止在LSASS中存储纯文本密码;
• 限制或禁用局域网新技术管理器(NTLM)和WDigest身份验证;
• 为Windows10和Server2016建立凭证保护，为本地安全验证启用微软系统进程保护机制;
• 尽量减少AD攻击面

此外，他们还提供了不少勒索攻击应急响应的建议：

• 遵循CISA-多状态信息共享和分析中心(MS-ISAC)联合勒索软件指南第11页的勒索软件应急响应检查表;
• 扫描备份;
• 立即向FBI分局、CISA或美国特情局办公室报告事件;
• 立即应用报告中所提到的突发事件最佳实践，这份报告由CISA和澳大利亚、加拿大、新西兰和英国的网络安全当局联合发布。

参考来源：

https://securityaffairs.co/wordpress/123549/cyber-crime/blackmatter-ransomware-joint-advisory.html

鸿蒙官方战略合作共建――HarmonyOS技术社区