盡管BlackMatter勒索團伙聲稱其并未針對醫(yī)院等“關鍵基礎設施”組織開展活動,但聯(lián)邦監(jiān)管機構(gòu)正在提醒醫(yī)療保健和公共衛(wèi)生部門實體注意 BlackMatter潛在的勒索軟件攻擊的“高度威脅”。據(jù)統(tǒng)計,2020年,美國至少有92家醫(yī)療機構(gòu)遭受勒索軟件攻擊,平均勒索金額為169446美元,網(wǎng)絡犯罪分子從美國醫(yī)療行業(yè)獲得的勒索金額估計為1560萬美元。
在 9月2 日發(fā)布的威脅簡報中,美國衛(wèi)生與公眾服務部(HHS)下設的網(wǎng)絡安全協(xié)調(diào)委員會(HC3)指出,BlackMatter 惡意軟件于 7 月首次出現(xiàn),并被懷疑是 DarkSide和REvil RaaS 業(yè)務的繼任者。
作為對HHS警報的回應,BlackMatter的一名代表聲稱,該組織不會攻擊包括醫(yī)院在內(nèi)的各種行業(yè),如果這些實體受到攻擊,那么該公司可以要求“免費解密”。
根據(jù)HC3的警報,BlackMatter 聲稱:“我們不會允許我們的項目用于勒索關鍵基礎設施,這會引起我們不必要的關注。”
網(wǎng)絡犯罪的目的是贖金
安全公司Emsisoft 的威脅分析師布雷特·卡洛 (Brett Callow) 表示,出于幾個原因,該團伙的說法“應該有所保留”。
“首先是因為他們是沒有良心的罪犯,不能被信任。其次是因為他們無法完全控制附屬公司,”他說。“我們實際上知道 BlackMatter 對醫(yī)療保健提供者的攻擊。正在發(fā)生,”。
此外,“即使犯罪分子為醫(yī)療機構(gòu)提供免費解密器,這些攻擊仍會對生命構(gòu)成重大風險,”他說。
例如,在5月對愛爾蘭公共衛(wèi)生系統(tǒng)——衛(wèi)生服務執(zhí)行官——的勒索軟件攻擊中,據(jù)報道,Conti團伙提供了一個免費的解密器,但恢復過程仍然需要數(shù)周時間。
“正如 HSE 案例所證明的那樣,即使組織擁有解密密鑰,恢復也可能是一個非常漫長的過程。中斷可能會持續(xù)數(shù)周甚至數(shù)月,”他說。
卡洛還表示,盡管早期懷疑與REvil 有聯(lián)系,但BlackMatter 似乎是“Darkside(黑暗面)的改頭換面”——負責攻擊Colonial(殖民地)管道的團伙。“我與他們和REvil之間沒有任何聯(lián)系,除了可能共享的附屬機構(gòu),”他指出。
BlackMatter特征
HC3 警報指出,BlackMatter的目標系統(tǒng)是Windows和Linux服務器,并且“勒索軟件 [是] 用 C 編寫的,它使用 Salsa20 和 1024 位 RSA 的組合來加密文件,”HC3 說。
此外,HC3 表示BlackMatter 勒索軟件:
嘗試掛載和加密未掛載的分區(qū);
定位存儲在本地和網(wǎng)絡共享上的文件,以及可移動介質(zhì);
可以在加密之前終止進程;
在加密過程中刪除卷影副本并忽略特定目錄、文件或文件擴展名;
可配置為通過 HTTP 或 HTTPS 將系統(tǒng)信息上傳到遠程服務器;
收集系統(tǒng)信息,如系統(tǒng)名稱、用戶名、域、語言信息和枚舉驅(qū)動器列表。
高度復雜
HC3特別指出,BlackMatter 是一個“高度復雜、出于經(jīng)濟動機的網(wǎng)絡犯罪活動”。BlackMatter集團可能來自東歐,并且講俄語。目標國家包括美國、印度、巴西、智利、泰國等。
到目前為止,目標行業(yè)包括法律、房地產(chǎn)、IT 服務、食品和飲料、建筑、教育和金融。該咨詢稱,該組織還在積極尋找用于勒索軟件部署的初始訪問經(jīng)紀人和附屬機構(gòu)。
BlackMatter 被認為是9月8日對Olympus公司網(wǎng)絡攻擊的幕后黑手,Olympus是一家生產(chǎn)光學和復印產(chǎn)品的日本公司(參見:日本科技巨頭奧林巴斯遭到勒索攻擊導致部分網(wǎng)絡關閉)。
退休的聯(lián)邦調(diào)查局監(jiān)督特工、律師事務所 Faegre Drinker Biddle & Reath LLP 的律師Jason G. Weiss 說,BlackMatter 只是全球大約 20 個已知和活躍的勒索軟件團伙之一。
“所有這些勒索軟件團伙都是……尤其是對醫(yī)療保健行業(yè)的真實存在的危險,”他說。
“醫(yī)療保健部門每天都在處理生死攸關的事情……商業(yè)文件加密的風險持續(xù)存在,而且在許多情況下,這些勒索軟件攻擊還攻擊了他們控制這些實際基礎設施的‘運營技術'OT網(wǎng)絡。醫(yī)療保健實體被置于危險之中。”
防范步驟
HC3為醫(yī)療保健部門實體提供了許多建議的防御和緩解措施。其中包括:
實施白名單技術,確保只有經(jīng)過授權(quán)的軟件才能執(zhí)行;
提供基于最小權(quán)限原則的訪問控制;
維護反惡意軟件解決方案;
進行系統(tǒng)加固以確保正確的配置;
禁用 SMBv1以及所有其他易受攻擊的服務和協(xié)議,并且至少需要 SMBv2。
此外,企業(yè)應該限制、減少或消除RDP的使用,HC3說。
