黑物质勒索软件团伙宣布由于地方当局的压力,他们打算关闭工厂。
这里有压强。就在两周前,我们报道了美国联邦调查局(FBI)、网络安全和基础设施安全局(CISA)和国家安全局(NSA)针对“黑物质”勒索软件发出的警告。
失踪人员
帖子中有句话透露了这一点:“在最新消息发布后,团队的一部分人已经不在了。”这很可能是指欧洲刑警组织的公告上周,它逮捕了12名“在世界各地对关键基础设施进行勒索软件攻击”的个人。
尽管声明中没有特别提到BlackMatter,但声明称,这些人已经部署了LockerGoga、MegaCortex和Dharma勒索软件,等.正如我们之前所发表的,大部分主要的ransomware帮派相连在某种程度上。
暗物质商业模式
“黑物质”是一种勒索软件即服务(RaaS),它允许开发者从网络犯罪组织中获利,后者利用它来攻击受害者。暗物质可能是黑暗面,与REvil有一些相似之处。黑暗面”和REvil不得不关闭.
如果这群人决定以某种方式卷土重来,也不会让人感到意外。这可能是通过“改进的”产品、新员工、重塑品牌,或者三者兼有。时间会证明一切,但让他们发家致富的商业模式不太可能被完全抛弃。
这类组织的缺点之一是,附属组织不太可能等待该组织的重生,可能会聚集到其他组织,而不是等待暗物质以某种形式回来。
如何保护自己免受勒索软件
上个月,CISA发布了一份关于BlackMatter勒索软件的联合网络安全咨询。CISA警报以战术、技术和程序(TTPs)的形式列出了技术细节MITRE ATT&CK企业框架、检测特征和缓解。
大多数缓解策略对我们的普通读者来说都很熟悉,但总是值得重复它们。你可能会发现一些新的。
- 使用强且唯一的密码.密码不应该在多个帐户之间重用,也不应该存储在可能被对手访问的系统上。具有本地管理帐户的设备应该实现一个密码策略,该策略要求为每个单独的管理帐户提供强且唯一的密码。
- 实现和需要多因素身份验证(MFA)在可能的情况下,特别是对于网络邮件、虚拟专用网络和访问关键系统的帐户。
- 补丁和更新.保持所有操作系统和软件的更新。及时打补丁是一个组织可以采取的最有效和最具成本效益的步骤之一,以减少其暴露于网络安全威胁。
- 限制对网络资源的访问.删除对管理共享的不必要访问,将权限限制为仅必要的服务或用户帐户,并对异常活动执行持续监视。使用基于主机的防火墙只允许从有限的一组管理计算机通过服务器消息块(SMB)连接到管理共享。
- 实现网络分段和遍历监控.这将阻碍对手了解组织的企业环境。许多攻击者使用系统和网络发现技术来进行网络和系统映射。
- 为admin级别或更高级别的帐户实现基于时间的访问.黑物质特工在非工作时间使用加密证书,使他们在较长时间内不被发现。
- 禁用命令行和脚本活动和权限.特权升级和横向移动通常依赖于从命令行运行的软件实用程序。
- 实施并执行备份和恢复策略和过程.做正确备份并不像有些人想的那么容易。确保它们是最近的,不能被修改或删除,并且覆盖整个组织的数据基础设施。
此外,CISA、FBI和NSA敦促关键基础设施组织采用以下额外的缓解措施,以降低凭证泄露的风险:
- 禁用明文密码存储在LSASS内存中。
- 考虑禁用或限制新技术局域网管理器(NTLM)和WDigest身份验证。
- 实现凭据警卫Windows 10和Server 2016。
- 最小化AD (Active Directory)攻击面,减少恶意票据授予活动。Ticket Granting服务可用于获取散列凭证,攻击者试图破解这些凭证或在传递散列方法中使用这些凭证。
保持安全,大家好!
评论