BlackMatter自今年7月起就鎖定美國多個關鍵基礎設施(CI)展開攻擊,包括當地的兩個食品與農業組織。雖然美國並未公布受害者,但其中一個應是今年9月遭到攻擊的愛荷華州穀物合作社New Cooperative。(圖片來源/New Cooperative)

美國聯邦調查局(FBI)、網路安全及基礎設施安全局(CISA)與國家安全局(NSA)周一(10/18)聯手揭露了勒索軟體BlackMatter的攻擊行動,指出BlackMatter自今年7月起就鎖定美國的多個重大基礎設施展開攻擊,包括當地的兩個食品與農業組織。雖然美國並未公布受害者,但其中一個應是今年9月遭到攻擊的愛荷華州穀物合作社New Cooperative

FBI、CISA與NSA此次的揭露主要是為了提供有關BlackMatter的細節,例如駭客是利用輕型目錄存取協定(Lightweight Directory Access Protocol,LDAP)與伺服器訊息區塊(Server Message Block,SMB)協定來存取Active Directory,以取得所入侵網路的所有主機名單,再自遠端將它們加密。

已有多家資安業者認為BlackMatter與當初攻擊美國最大燃油管道系統Colonial Pipeline的DarkSide勒索軟體有許多共同之處,可能是由同樣的成員所打造,或者是雙方關係緊密,至於美國官方的報告中也指出,BlackMatter很可能是DarkSide捲土重來之作。

根據調查,BlackMatter駭客是利用先行盜取的管理員或使用者憑證入侵組織網路,藉由LDAP與SMB協定來發現AD上的所有主機,針對Linux機器採用不同的加密程式,並定期加密ESXi虛擬機器,此外,BlackMatter並未加密備份系統,而是選擇將備份資料全部清除或重新格式化。

FBI、CISA與NSA也公布了BlackMatter駭客的攻擊手法及所使用的技術,從進駐系統、存取憑證、找到所有主機、橫向移動、汲取資料、加密資料到清除所有備份等,而駭客所要求的贖金介於8萬美元到1,500萬美元之間,必須以比特幣或門羅幣支付。

防範勒索軟體的程序大同小異,包括部署偵查機制、使用強固的密碼、採用多因素認證、及時修補與更新系統、限制網路的存取能力、隔離重要系統,以及建立離線備份等。

熱門新聞

Advertisement