自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

AI.x社區(qū)

軟考社區(qū)

企業(yè)培訓

鴻蒙開發(fā)者社區(qū)

WOT技術大會

公眾號矩陣

移動端

視頻課免費課排行榜短視頻直播課軟考學堂

全部課程軟考華為認證廠商認證 IT技術 PMP項目管理免費題庫

文章資源問答課堂專欄直播

51CTO

鴻蒙開發(fā)者社區(qū)

51CTO技術棧

51CTO官微

51CTO學堂

51CTO博客

CTO訓練營

鴻蒙開發(fā)者社區(qū)訂閱號

51CTO軟考

51CTO學堂APP

51CTO學堂企業(yè)版APP

鴻蒙開發(fā)者社區(qū)視頻號

51CTO軟考題庫

賬號設置退出

這是一份來自FBI、CISA、NSA的聯(lián)合報告

作者：蘇蘇 2021-10-22 06:04:05

該報告詳細介紹了關于BlackMatter勒索軟件團伙，在戰(zhàn)術、技術和程序(TTPs)方面的信息。

據(jù)security affairs消息，聯(lián)邦調查局(FBI)、網(wǎng)絡安全和基礎設施安全局(CISA)、美國國家安全局(NSA)聯(lián)合發(fā)布了一份“關于BlackMatter勒索軟件團伙”的運作咨詢報告，并提供了相應的防護建議。

該報告詳細介紹了關于BlackMatter勒索軟件團伙，在戰(zhàn)術、技術和程序(TTPs)方面的信息。而BlackMatter 勒索軟件的樣本分析全部來自于可信的第三方報告。

2021年7月，BlackMatter勒索軟件團伙啟動運營，該團伙聲稱自己是Darkside和REvil團伙的繼承者。與其他勒索軟件的業(yè)務一樣，BlackMatter也建立了自己的網(wǎng)站，公布那些從個人/企業(yè)竊取的數(shù)據(jù)和隱私信息，并且還會加密他們的文件和系統(tǒng)。

Recorded Future 公司的安全研究人員最早發(fā)現(xiàn)了BlackMatter勒索軟件即服務(RaaS)，他們還發(fā)現(xiàn)，該勒索團隊已經(jīng)在Exploit 和 XSS兩大犯罪網(wǎng)站上建立了一個子網(wǎng)站來進行宣傳。

該團伙的攻擊目標為那些年收入超1億美元的大型企業(yè)，并且正四處尋找這些企業(yè)的網(wǎng)絡漏洞，試圖通過勒索軟件進行感染。目前，BlackMatter勒索軟件的活躍地區(qū)包括美國、英國、加拿大和澳大利亞等。

BlackMatter勒索軟件運營商宣布，他們不會針對醫(yī)療保健組織、關鍵基礎設施、國防軍工組織以及其他非營利性公司。2021年8月，該團隊成功制造了一個Linux加密器，將目標瞄準了VMwareESXi虛擬機平臺。

截止到目前，BlackMatter運營商已經(jīng)連續(xù)攻擊美國多家企業(yè)，每次攻擊贖金8-1500萬美元不等，且必須要以Bitcoin 和 Monero支付。

通過嵌入或以往泄露的憑證信息，BlackMatter常利用輕量級目錄訪問協(xié)議(LDAP)和服務器消息塊(SMB)訪問活動目錄協(xié)議(AD)，借此發(fā)現(xiàn)網(wǎng)絡上所有的主機。然后，BlackMatter就可以遠程加密主機和共享驅動器。

安全研究人員分析了相關樣本之后，這才發(fā)現(xiàn)了BlackMatter運營商的騷操作。他們常使用泄露的管理員憑證來掃描受害者活動目錄中的所有主機。同時，惡意代碼還使用了微軟遠程過程調用(MSRPC)函數(shù)，這樣即可允許列出每個主機可訪問的共享網(wǎng)絡。

FBI、CISA、NSA三大部門也聯(lián)合發(fā)出了警告，“BlackMatter勒索軟件的變體使用了嵌入式管理或之前已經(jīng)泄露的用戶憑證，NtQuerySystemInformation函數(shù)，以及EnumServicesStatusExW，分別枚舉出正在運行的進程和服務。BlackMatter通過LDAP和SMB中的嵌入式憑據(jù)發(fā)現(xiàn)AD中的所有主機，并srvsvc.NetShareEnumAll 微軟遠程過程調用(MSRPC)函數(shù)，以枚舉每個主機可訪問的共享網(wǎng)絡。”

BlackMatter勒索軟件的運營者對linux系統(tǒng)的機器單獨使用加密的二進制文件，也可以加密ESXi虛擬機。安全專家注意到，BlackMatter勒索軟件的運營者的做法是格式化備份數(shù)據(jù)，而不是對備份系統(tǒng)進行加密。當然，企業(yè)安全人員也可以使用Snort簽名來檢測和BlackMatter有關的網(wǎng)絡活動。

針對日益猖獗的BlackMatter勒索軟件，F(xiàn)BI、CISA和NSA給出了建議，并督促企業(yè)安全人員采納以下措施，降低BlackMatter勒索軟件攻擊的風險：

實施檢測簽名;
使用更安全的密碼;
實施多因素認證;
及時更新系統(tǒng)和打補丁;
限制網(wǎng)絡對資源的訪問;
將網(wǎng)絡進行分割和監(jiān)控;
使用管理員禁用工具應對身份和特權訪問管理;
強制執(zhí)行備份、恢復的政策和程序;

美國也大力督促關鍵基礎設施采用以下建議，減少被勒索軟件攻擊的風險：

禁止在LSASS中存儲純文本密碼;
限制或禁用局域網(wǎng)新技術管理器(NTLM)和WDigest身份驗證;
為Windows10和Server2016建立憑證保護，為本地安全驗證啟用微軟系統(tǒng)進程保護機制;
盡量減少AD攻擊面

此外，他們還提供了不少勒索攻擊應急響應的建議：

遵循CISA-多狀態(tài)信息共享和分析中心(MS-ISAC)聯(lián)合勒索軟件指南第11頁的勒索軟件應急響應檢查表;
掃描備份;
立即向FBI分局、CISA或美國特情局辦公室報告事件;
立即應用報告中所提到的突發(fā)事件最佳實踐，這份報告由CISA和澳大利亞、加拿大、新西蘭和英國的網(wǎng)絡安全當局聯(lián)合發(fā)布。

參考來源：

https://securityaffairs.co/wordpress/123549/cyber-crime/blackmatter-ransomware-joint-advisory.html

責任編輯：趙寧寧來源： FreeBuf

勒索軟件攻擊報告

51CTO技術棧公眾號

業(yè)務
速覽

媒體

51CTO CIOAge HC3i

社區(qū)

51CTO博客鴻蒙開發(fā)者社區(qū) AI.x社區(qū)

教育

51CTO學堂精培企業(yè)培訓 CTO訓練營

<sub id="n9tp3"></sub>

<style id="n9tp3"></style>