勒索软件抱团重生,BlackMatter勒索王回归。大东:小白,你知道勒索软件吗?小白:当然啦,大东你给我讲过那么多。大东:那我考考你,你知道的有哪些勒索软件组织?小白:我知道的有REvil、Lockbit、Babuke、DarkSide。大东:不错,小白知道的还真不少呢,不过你说的这些都是之前成立的勒索软件组织,最近出现了一个新的勒索软件团伙——BlackMatter。
小白:这个我没有听说过呢,大东你给我讲讲呗。
BlackMatter是2021年8月开始运作的,它融合了Darkside和REvil勒索软件组织的最佳功能。
BlackMatter能够加密不同的操作系统版本和架构,包括Windows系统(通过SafeMode)、Linux(Ubuntu、Debian、CentOS)、VMWare ESXi 5+虚拟端点和网络附属存储(NAS)设备(例如Synology、OpenMediaVault、FreeNAS和TrueNAS)。小白:功能这么强大,勒索江湖又要腥风血雨了。
大东:的确,也正因为如此,BlackMatter也被称作“勒索王”。小白:真是一波未平一波又起啊,我记得2021年6月和7月,出现了勒索软件团伙DarkSide和REvil的勒索攻击事件。大东:是啊,这两次攻击的影响非常大。DarkSide攻击了美国管道运营商Colonial Pipeline,对美国影响很大;REvil入侵了IT管理软件商Kaseya,造成迄今为止最大的供应链攻击。
小白:没想到影响这么大,还好最后政府采取措施,两个团伙解散了,REvil相关的网站都主动关闭运营了。大东:但勒索软件团伙并未真正根除,旧的“毒王”终结了,新的“勒索王”出现了。还有一些专家猜想BlackMatter可能就是由DarkSide和REvil两个团体的成员重新组建而成的。小白:有这种可能性呀,之前就出现过勒索软件组织更名以逃避执法的情况。
大东:的确,现在虽然有一些迹象表明BlackMatter与DarkSide有很多相似之处,但是在对勒索软件样本进行代码相似性分析之前,无法最终确定。
目前是通过在两个名为Exploit和XSS的网络犯罪论坛上发布的广告招募附属机构(合作者)。BlackMatter组织发布的招募广告(图片来自网络)。
这两个论坛在5月之后都禁止了勒索软件操作的广告,但BlackMatter组织并未直接为其勒索软件即服务(RaaS)产品做广告,而是发布了招募“初始访问经纪人”的广告。小白:什么是“初始访问经纪人”?大东:就是描述被黑企业网络的个人。小白:哦哦,懂了,就是描述攻击目标嘛。大东:可以这么理解,根据这个招募广告,可以总结出他们攻击目标的要求。小白:有什么要求呢?
大东:BlackMatter将攻击目标瞄准为年收入超过1亿美元、网络中有500-15,000台主机的大企业身上,并表示不会勒索医疗保健、关键基础设施(核电站、发电厂、水处理设施)、石油和天然气(管道、炼油厂)、国防、非营利组织和政府部门。小白:怎么听起来还感觉挺有道德的?
大东:不要被表面欺骗了,BlackMater是打算放长线钓大鱼,专攻有实力、有财力的大公司,而且专门避开了民生、基建等相关的影响社会正常运转和国家安全的行业,与其说他们“有道德”,不如说他们是吸取了前人没落的教训。小白:大东你说得对,任何时候勒索软件组织都是不好的存在。大东:嗯嗯,你明白了就好。小白:除了招募广告之外,BlackMater还有没有别的动作?
大东:类似如今大多数勒索软件团伙一样,BlackMater在暗网上也运营着一个网站方便他们实施双重勒索。BlackMatter经营的暗网泄密网站(图片来自网络)。小白:什么是双重勒索啊?大东:如果被黑客入侵的公司不同意支付解密文件的费用,它会在暗网泄密发布他们从受害者那里窃取的数据。小白:哦哦,这样啊。现在对于组织比较了解了,大东你给我讲讲他们的产品呗。
大东:没问题,他们推出的是勒索软件即服务(RaaS)产品。小白:这个产品有什么特点呢?大东:RaaS商业模式对于犯罪组织来说非常方便,从业者无需任何专业技术知识就可以毫不费力地发起网络敲诈活动。小白:无需专业知识,那岂不是降低了犯罪成本。大东:没错,这也是导致新的勒索软件市场泛滥的原因。就BlackMatter的勒索软件即服务(RaaS)产品而言,它们又做了进一步的提升和改进。
小白:做了哪些改进呢?大东:可以说是汇集了DarkSide、REvil和LockBit的精髓,可执行文件本身结合了LockBit、REvil和部分DarkSide的思想。Web部件采用了DarkSide的技术方法,此外还借用了DarkSide的管理面板结构。小白:真是吸取了不少经验方法。感觉这个新组织很恐怖啊!大东:确实实力不可小觑。
最近,BlackMatter已经开始行动了,一名受害者已经向BlackMatter支付了400万美元的赎金,以删除被盗数据并获得Windows和Linux ESXi解密器。BlackMatter暗网网站(图片来自网络)。小白:这么快就开始行动了,不过既然开始行动了,是不是可以根据这次攻击勒索软件样本来判断BlackMatter是否和Darkside、REvil有关联。
大东:是的,Emissosft首席技术官和勒索软件专家Fabian Wosar。在对解密器进行分析后,确认新的BlackMatter组织正在使用与DarkSide在其攻击中使用的相同的独特加密方法。小白:感觉这个组织越来越神秘了,最初是谁发现的BlackMatter呢?
大东:是安全厂商Recorded Future,后来Recorded Future的分析师Dmitry Smilyanets与BlackMater进行了交谈,被其新闻部门The Record报道,里面有一些很有意思的内容。小白:突然好奇起来,大东给我讲讲呗。大东:报道中提到了BlackMater对于团队构建和未来预期的一些想法,它希望构建一个强大、自给自足的团队,有丰富的经验和自己的技术解决方案。
小白:我不明白,它们团队中有这么多专业人士,为什么要将这种能力用于破坏性的活动呢?大东:他们认为合法的工作,无法给他们带来匹配其技术的物质回报。小白:哎,欲望是无穷的啊。
在这个采访中,也给企业防范工作带来一些启发,BlackMater认为直接访问网络是最好的方式,不使用VPN和其他耗时类型的初始访问。大东:关键就是要注意日常防范,勒索病毒以防为主。小白:日常防范要注意哪些方面呢?
大东:第一要养成良好的安全习惯,比如使用安全的浏览器以降低遭遇挂马攻击、钓鱼网站的风险。再者要将重要的文档、数据定期进行非本地备份,一旦文件损坏或丢失,也可以及时找回。小白:嗯嗯,记住了。大东:除此之外,要使用强度比较高而且无规律的密码,要求包括数字、大小写字母、符号。不使用弱口令,以防止攻击者破解,并安装具有主动防御的安全软件。小白:安全软件也是一份保障呀。还有没有别的建议呢?
大东:第二就是要减少危险的上网操作,对于个人用户来说,不要浏览来路不明的不良信息网站,也不要点击来源不明的邮件附件,不从不明网站下载软件,警惕伪装为浏览器更新或者flash更新的病毒。小白:安全上网从我做起!大东:对于企业用户来说,要及时给办公终端和服务器打补丁,修复漏洞,防止攻击者通过漏洞入侵系统。此外,不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。
小白:那如果已经确认感染了勒索病毒,应该如何自救呢?大东:其实采取自救措施的根本目的是为了及时止损,将损失降到最低。因为在等待专业人员的过程中,损失可能进一步扩大。小白:原来是这样,那具体有些什么方法呢?大东:首先要隔离中招主机,隔离的目的,一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是为了防止黑客通过感染主机继续操控其他服务器。
小白:就像新冠疫情一样,要采用隔离的方式切断传染途径。大东:没错,是这个思路,接着就可以排查业务系统了。在隔离被感染主机后,还应对局域网内的其他机器进行排查,要检查其核心业务系统是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。小白:这很像确定新冠确诊人员的活动范围和行动轨迹啊。
大东:思路很相似,做好这两步基本上就差不多了,还要注重一些细节问题,比如不要在中毒电脑上使用U盘、移动硬盘等设备,也不要读写中毒主机上的磁盘设备。小白:明白了,谢谢大东!