勒索軟體簡介：BlackMatter

BlackMatter 是一種勒索軟體，它會加密檔案並威脅如果不支付贖金就會洩露被盜資料。該集團以年收入超過1億美元的大公司為目標，並在擴大業務的同時積極招募附屬公司。由於兩個勒索軟體組織都採用了獨特的加密程式，BlackMatter可能是現已解散的網路犯罪組織DarkSide的品牌重塑或衍生產品。

BlackMatter是什麼?

BlackMatter是一種勒索軟體變體，它使用Salsa20和1024位RSA加密檔案，並需要大量加密貨幣進行解密。

與許多其他勒索軟體組織一樣，BlackMatter通過洩露資料的威脅來增加獲得支付的機會。在執行最後一個勒索軟體有效載荷之前，BlackMatter的操作人員會從被入侵的系統中竊取資料，並威脅稱，除非受害者支付贖金，否則就會在該組織的洩露網站上公佈資料。

BlackMatter作為一種勒索軟體即服務 (RaaS) 執行，在這種商業模式下，分支機構只要將惡意軟體投放到受損的系統上，就可以獲得一部分贖金。BlackMatter還與初始接入經紀人合作，這些人願意出售接入受損網路的許可權。根據目標的不同，初始接入代理將獲得3000至10萬美元的網路接入費用。

BlackMatter和DarkSide之間可能存在聯絡

DarkSide是2021年5月Colonial Pipeline襲擊的勒索軟體團伙，該襲擊導致美國各地燃料短缺和價格飆升。在美國和俄羅斯當局前所未有的壓力下，DarkSide被迫在幾周後關閉了其運營。

有證據表明DarkSide，或者至少是DarkSide的一些成員，可能以BlackMatter的綽號迴歸。在調查了洩露的BlackMatter解密器後，Emsisoft的分析師確定BlackMatter使用了 DarkSide以前在攻擊中使用的相同加密例程，包括DarkSide獨有的定製的Salsa20 矩陣。

BlackMatter的歷史

BlackMatter於2021年7月下旬首次被觀察到，當時別名“BlackMatter”在俄語網路犯罪論壇XSS和Exploit上註冊。使用者將4個比特幣(當時價值約 150,000 美元)存入其 Exploit 託管賬戶，表明他們作為威脅參與者的合法性和嚴肅性。不久之後，該使用者釋出了一則廣告，提供初始訪問經紀人3,000至100,000美元用於訪問符合該組標準的公司網路。

2021年9月上旬，美國衛生與公眾服務部的衛生部門網路安全協調委員會發布了一份關於 BlackMatter的威脅簡報。

自 BlackMatter 首次被發現以來，已有44份提交給 ID Ransomware。(ID Ransomware 是一種線上工具，可幫助勒索軟體的受害者識別哪些勒索軟體對其檔案進行了加密。)

估計只有25%的受害者向 ID Ransomware 提交了申請，這意味著自勒索軟體出現以來，總共可能發生了176起 BlackMatter 事件。在此期間，該組織還在其洩密網站上公佈了10個組織的被盜資料。

BlackMatter 贖金記錄

加密過程完成後，BlackMatter 會在使用者可訪問的資料夾中放置贖金通知，並將桌面桌布更改為贖金通知。某些版本的勒索軟體還會通過從每個受感染的端點向預設印表機傳送列印作業來列印贖勒索信的物理副本。

勒索信指出受害者的檔案已被加密，並提供了有關如何與攻擊者通訊的說明。該說明還指定了在攻擊期間被盜的資料型別，以及“保證”威脅行為者將通過解密受害者的檔案並在收到付款後刪除洩露的資料來維護他們的交易目的。

以下是 BlackMatter 勒索信示例：

BLACK

Matter

>>> What happens?

Your network is encrypted, and currently not operational. We have downloaded 1TB from your fileserver.

We need only money, after payment we will give you a decryptor for the entire network and you will restore all the data.

>>> What guarantees?

We are not a politically motivated group and we do not need anything other than your money.

If you pay, we will provide you the programs for decryption and we will delete your data.

If we do not give you decrypters or we do not delete your data, no one will pay us in the future, this does not comply with our goals.

We always keep our promises.

>> Data leak includes

Full emloyeers personal data

Network information

[REDACTED]

Finance info

>>> How to contact with us?

Download and install TOR Browser (hxxps://).

Open [URL REDACTED].

>>> Warning! Recovery recommendations.

We strongly recommend you to do not MODIFY or REPAIR your files, that will damage them.

BlackMatter 的目標是誰?

BlackMatter針對的目標是資源豐富的大型企業。該集團擁有攻擊位於美國，英國，加拿大，澳大利亞，印度，巴西，智利和泰國的企業，但受影響的國家還在增加。

BlackMatter組織開發了適用於Windows和Linux的勒索軟體版本，使攻擊者能夠攻擊基於Linux的環境，包括ESXi、Ubuntu、Debian和CentOS。

BlackMatter 聲稱它不會攻擊某些行業，因為這樣做會引起不必要的關注。這包括：

醫院

關鍵基礎設施(核電站、發電廠、水處理設施)

石油和天然氣工業(管道、煉油廠)

國防工業

非營利公司

政府部門

如果這些行業之一的實體受到攻擊(可能是無意中或由一個粗心的附屬機構)，該組織聲稱它將提供免費解密。

但網路犯罪集團提出的任何宣告都應該受到懷疑。此外，即使該組織確實向受影響的實體提供免費解密，恢復可能仍需要數天、數週或數月才能完成。此類事件可能導致重大中斷和經濟損失;在醫療保健領域，這可能意味著喪失生命。

BlackMatter是如何傳播的?

BlackMatter 攻擊從破壞目標網路開始，通常是通過受損的遠端桌面協議、網路釣魚活動、利用已知漏洞或被盜憑據。因此，減少軟體安全漏洞，在軟體開發過程中通過靜態程式碼檢測工具查詢編碼缺陷和安全漏洞，可以降低企業遭到BlackMatter 攻擊的風險。

BlackMatter 執行時，會驗證當前使用者的許可權。如果許可權受到使用者帳戶控制的限制，惡意軟體會嘗試使用 ICMLuaUtil COM 介面提升其許可權。DarkSide 和 LockBit 使用了相同的技術。在獲得必要的許可權後，BlackMatter 會終止一些與生產力相關的程式並刪除目標目錄的卷影副本。在加密開始之前，攻擊者還會竊取資料，作為額外的手段來迫使受害者支付贖金。

在加密期間，BlackMatter 會嘗試掛載和加密未掛載的分割槽。它的目標是儲存在本地和網路共享上的檔案，以及可移動媒體，而忽略特定的目錄、檔案和副檔名，這些是裝置執行所必需的。

由於 BlackMatter 作為 RaaS 執行並且可以由許多不同的附屬機構分發，因此攻擊的確切結構可能因事件而異。

主要 BlackMatter 攻擊

奧林巴斯：2021年9月，日本科技巨頭奧林巴斯受到 BlackMatter 的打擊。在檢測到歐洲、非洲和中東網路上的可疑活動後，該公司被迫暫停受影響系統中的資料傳輸，作為預防措施。動員了一個專門的響應小組來解決這個問題。

如何保護網路免受 BlackMatter 和其他勒索軟體的侵害

1.由於大多數勒索軟體是通過使用者發起的行為傳播的，因此企業或組織應實施側重於向終端使用者傳授網路安全基礎知識的培訓計劃。勒索軟體和傳播方法在不斷髮展，因此培訓必須是一個持續的過程，以確保終端使用者能夠應對當前的威脅。

2.實行良好的憑證衛生有助於防止暴力攻擊，減輕憑證盜竊的影響並降低未經授權的網路訪問風險。

3.MFA 提供了額外的安全層，可以幫助防止對帳戶、工具、系統和資料儲存庫的未授權訪問。企業應考慮儘可能啟用 MFA。

4.各種規模的組織都應該有一個強大的補丁管理策略，以確保儘快應用所有端點、伺服器和裝置上的安全更新，以最大限度地減少攻擊機會。當然， 若能在軟體開發期間就及時修正可見安全漏洞，如通過靜態程式碼分析技術等發現問題並改正，可以減少軟體中的安全漏洞，同時減少補丁數量。

5.備份是減輕勒索軟體事件影響的最有效方法之一。許多勒索軟體可以在網路中橫向傳播並加密本地儲存的備份，因此組織應該使用混合媒體儲存，並在現場和異地儲存備份副本。

6.加固網路、伺服器、作業系統和應用程式對於減少攻擊面和管理潛在的安全漏洞至關重要。禁用不需要的和可能被利用的服務，例如 PowerShell、RDP、Windows Script Host、Microsoft Office 巨集等，可以降低初始感染的風險，同時實施最小許可權原則可以幫助防止橫向移動。

7.許多勒索軟體系列是通過巨集嵌入的 Microsoft Office 或 PDF 文件提供的。組織應該審查他們對巨集的使用，考慮阻止Internet上的所有巨集，並且只允許從受信任的位置執行經過審查和批准的巨集。

8.組織可以使用各種電子郵件身份驗證技術(例如發件人策略框架、域金鑰識別郵件和基於域的郵件身份驗證、報告和一致性)來檢測電子郵件欺騙並識別可疑郵件。

9.有效的網路隔離有助於控制事件、防止惡意軟體傳播並減少對更廣泛業務的干擾。

10.各種規模的組織都必須有適當的系統來監控可能的資料洩露渠道並立即響應可疑活動。

企業除了做好以上各種防禦措施，還應制定全面的事件響應計劃。快速響應有助於防止惡意軟體傳播，最大限度地減少中斷並確保儘可能有效地修復事件。

文章來源：

https://blog.emsisoft.com/en/39121/ransomware-profile-blackmatter/