尽管Blackmatter Ransomware Gang所做的承诺,但是他们避免的组织和商业类型,多个美国关键基础设施实体已经针对性。现在,联邦调查局(FBI)与网络安全和基础设施安全机构(CISA)一起和国家安全局(NSA)已经发出警告,对Blackmatter RansomWare发出警告,以及关于如何避免它的提示。
BlackMatter ransomware
Blackmatter是一个赎金软件(RAAS),允许开发人员从部署其针对受害者的网络犯罪者的利润。Blackmatter是一个可能的暗黑吊灯,并有一些相似之处的罗瓦.根据它自己的网站:
“该项目本身已纳入深度,罗维尔和锁定界的最佳特征
承诺,承诺
在他们自己的泄露网站上,“暗物质”团伙声称不会攻击以下六个行业的公司,并警告说,如果这些行业的任何公司受到攻击,这些受害者只需要求免费解密即可:
- 医院
- 关键基础设施(核电站、电厂、水处理设施)
- 石油和天然气工业(管道、炼油厂)
- 国防工业
- 非营利性公司
- 政府部门
最近一个备受瞩目的黑物质受害者是一家总部位于日本的制造商奥林匹斯山这家公司主要生产医疗设备BlackMatter也被认为是影响美国农民合作的网络安全事件的罪魁祸首新合作.
总而言之,“黑物质”组织已经对几个美国组织进行了攻击,并要求赎金从8万美元到1500万美元不等的比特币和门罗币。
如何避免“暗物质”勒索软件
CISA警报以策略,技术和程序(TTP)的形式列出技术细节临床ATT&CK为企业框架、检测特征和缓解。
大多数缓解策略对我们的普通读者来说都很熟悉,但总是值得重复它们。你可能会发现一些新的。
- 使用强且唯一的密码。密码不应该在多个帐户之间重用,也不应该存储在可能被对手访问的系统上。具有本地管理帐户的设备应该实现一个密码策略,该策略要求为每个单独的管理帐户提供强且唯一的密码。
- 实现和需要多因素身份验证(MFA)在可能的情况下,特别是对于访问关键系统的Webmail,虚拟专用网络和帐户。
- 补丁和更新。保持所有操作系统和软件最新。及时修补是组织可以采取的最有效和经济效益的步骤之一,以最大限度地减少其对网络安全威胁的暴露。
- 限制对网络的资源访问。删除不必要的管理份额访问权限,仅限于必要的服务或用户帐户的权限,并对异常活动执行持续监控。使用基于主机的防火墙仅允许通过来自一组有限的管理员计算机通过服务器消息块(SMB)连接到管理共享。
- 实现网络分割和遍历监控。这将阻碍学习组织的企业环境的对手。许多攻击者使用系统和网络发现技术进行网络和系统映射。
- 为admin级别或更高级别的帐户实现基于时间的访问。人们注意到,黑物质特工在非工作时间使用加密证书,这使得他们可以长时间不被发现。
- 禁用命令行和脚本活动和权限。特权升级和横向移动通常依赖于从命令行运行的软件实用程序。
- 实现和实施备份和恢复策略和程序。做正确备份并不像有些人想的那么容易。确保它们是最近的,不能被修改或删除,并且覆盖整个组织的数据基础设施。
此外,CISA,FBI和NSA敦促关键的基础设施组织应用以下额外的缓解,以降低凭证妥协的风险:
- 在LSASS内存中禁用清除文本密码的存储。
- 考虑禁用或限制新技术局域网管理器(NTLM)和WDIGEST身份验证。
- 实施凭据警卫对于Windows 10和Server 2016。
- 最小化AD (Active Directory)攻击面,减少恶意票据授予活动。Ticket Granting服务可用于获取散列凭证,攻击者试图破解这些凭证或在传递散列方法中使用这些凭证。
坏事发生了
如果,尽管你尽了最大努力,你的组织还是发生了勒索软件事件,CISA、FBI和NSA表示,总部位于美国的组织应该:
- 按照第11页的勒索软件响应清单CISA-MULTIONY信息共享和分析中心(MS-ISAC)联合赎金软件指南.
- 扫描备份。如果可能,用防病毒程序扫描备份数据,以检查它是否没有恶意软件。
- 立即向联邦调查局报告事件本地联邦调查局野外办事处,中钢协us-cert.cisa.gov /报告,或者美国特勤局美国秘密服务领域办事处.
- 应用联合咨询中发现的事件响应最佳做法,发现和纠正恶意活动的技术方法该软件由CISA与澳大利亚、加拿大、新西兰和英国的网络安全当局共同开发。
保持安全,每个人!
评论