《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 勒索软件BlackMatter攻击风险激增,美国卫生与公众服务部发出威胁警报

勒索软件BlackMatter攻击风险激增,美国卫生与公众服务部发出威胁警报

2021-09-16
来源:网空闲话
关键词: 勒索软件 攻击风险

  尽管BlackMatter勒索团伙声称其并未针对医院等“关键基础设施”组织开展活动,但联邦监管机构正在提醒医疗保健和公共卫生部门实体注意 BlackMatter潜在的勒索软件攻击的“高度威胁”。据统计,2020年,美国至少有92家医疗机构遭受勒索软件攻击,平均勒索金额为169446美元,网络犯罪分子从美国医疗行业获得的勒索金额估计为1560万美元。

  在 9月2 日发布的威胁简报中,美国卫生与公众服务部(HHS)下设的网络安全协调委员会(HC3)指出,BlackMatter 恶意软件于 7 月首次出现,并被怀疑是 DarkSide和REvil RaaS 业务的继任者。

  作为对HHS警报的回应,BlackMatter的一名代表声称,该组织不会攻击包括医院在内的各种行业,如果这些实体受到攻击,那么该公司可以要求“免费解密”。

  根据HC3的警报,BlackMatter 声称:“我们不会允许我们的项目用于勒索关键基础设施,这会引起我们不必要的关注。”

  网络犯罪的目的是赎金

  安全公司Emsisoft 的威胁分析师布雷特·卡洛 (Brett Callow) 表示,出于几个原因,该团伙的说法“应该有所保留”。

  “首先是因为他们是没有良心的罪犯,不能被信任。其次是因为他们无法完全控制附属公司,”他说。“我们实际上知道 BlackMatter 对医疗保健提供者的攻击。正在发生,”。

  此外,“即使犯罪分子为医疗机构提供免费解密器,这些攻击仍会对生命构成重大风险,”他说。

  例如,在5月对爱尔兰公共卫生系统——卫生服务执行官——的勒索软件攻击中,据报道,Conti团伙提供了一个免费的解密器,但恢复过程仍然需要数周时间。

  “正如 HSE 案例所证明的那样,即使组织拥有解密密钥,恢复也可能是一个非常漫长的过程。中断可能会持续数周甚至数月,”他说。

  卡洛还表示,尽管早期怀疑与REvil 有联系,但BlackMatter 似乎是“Darkside(黑暗面)的改头换面”——负责攻击Colonial(殖民地)管道的团伙。“我与他们和REvil之间没有任何联系,除了可能共享的附属机构,”他指出。

  BlackMatter特征

  HC3 警报指出,BlackMatter的目标系统是Windows和Linux服务器,并且“勒索软件 [是] 用 C 编写的,它使用 Salsa20 和 1024 位 RSA 的组合来加密文件,”HC3 说。

  此外,HC3 表示BlackMatter 勒索软件:

  尝试挂载和加密未挂载的分区;

  定位存储在本地和网络共享上的文件,以及可移动介质;

  可以在加密之前终止进程;

  在加密过程中删除卷影副本并忽略特定目录、文件或文件扩展名;

  可配置为通过 HTTP 或 HTTPS 将系统信息上传到远程服务器;

  收集系统信息,如系统名称、用户名、域、语言信息和枚举驱动器列表。

  高度复杂

  HC3特别指出,BlackMatter 是一个“高度复杂、出于经济动机的网络犯罪活动”。BlackMatter集团可能来自东欧,并且讲俄语。目标国家包括美国、印度、巴西、智利、泰国等。

  到目前为止,目标行业包括法律、房地产、IT 服务、食品和饮料、建筑、教育和金融。该咨询称,该组织还在积极寻找用于勒索软件部署的初始访问经纪人和附属机构。

  BlackMatter 被认为是9月8日对Olympus公司网络攻击的幕后黑手,Olympus是一家生产光学和复印产品的日本公司(参见:日本科技巨头奥林巴斯遭到勒索攻击导致部分网络关闭)。

  退休的联邦调查局监督特工、律师事务所 Faegre Drinker Biddle & Reath LLP 的律师Jason G. Weiss 说,BlackMatter 只是全球大约 20 个已知和活跃的勒索软件团伙之一。

  “所有这些勒索软件团伙都是……尤其是对医疗保健行业的真实存在的危险,”他说。

  “医疗保健部门每天都在处理生死攸关的事情……商业文件加密的风险持续存在,而且在许多情况下,这些勒索软件攻击还攻击了他们控制这些实际基础设施的‘运营技术'OT网络。医疗保健实体被置于危险之中。”

  防范步骤

  HC3为医疗保健部门实体提供了许多建议的防御和缓解措施。其中包括:

  实施白名单技术,确保只有经过授权的软件才能执行;

  提供基于最小权限原则的访问控制;

  维护反恶意软件解决方案;

  进行系统加固以确保正确的配置;

  禁用 SMBv1以及所有其他易受攻击的服务和协议,并且至少需要 SMBv2。

  此外,企业应该限制、减少或消除RDP的使用,HC3说。




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。