盡管BlackMatter勒索團(tuán)伙聲稱其并未針對醫(yī)院等“關(guān)鍵基礎(chǔ)設(shè)施”組織開展活動(dòng)，但聯(lián)邦監(jiān)管機(jī)構(gòu)正在提醒醫(yī)療保健和公共衛(wèi)生部門實(shí)體注意 BlackMatter潛在的勒索軟件攻擊的“高度威脅”。據(jù)統(tǒng)計(jì)，2020年，美國至少有92家醫(yī)療機(jī)構(gòu)遭受勒索軟件攻擊，平均勒索金額為169446美元，網(wǎng)絡(luò)犯罪分子從美國醫(yī)療行業(yè)獲得的勒索金額估計(jì)為1560萬美元。

　　在 9月2 日發(fā)布的威脅簡報(bào)中，美國衛(wèi)生與公眾服務(wù)部（HHS）下設(shè)的網(wǎng)絡(luò)安全協(xié)調(diào)委員會(huì)（HC3）指出，BlackMatter 惡意軟件于 7 月首次出現(xiàn)，并被懷疑是 DarkSide和REvil RaaS 業(yè)務(wù)的繼任者。

　　作為對HHS警報(bào)的回應(yīng)，BlackMatter的一名代表聲稱，該組織不會(huì)攻擊包括醫(yī)院在內(nèi)的各種行業(yè)，如果這些實(shí)體受到攻擊，那么該公司可以要求“免費(fèi)解密”。

　　根據(jù)HC3的警報(bào)，BlackMatter 聲稱：“我們不會(huì)允許我們的項(xiàng)目用于勒索關(guān)鍵基礎(chǔ)設(shè)施，這會(huì)引起我們不必要的關(guān)注?！?/p>

　　網(wǎng)絡(luò)犯罪的目的是贖金

　　安全公司Emsisoft 的威脅分析師布雷特·卡洛 （Brett Callow） 表示，出于幾個(gè)原因，該團(tuán)伙的說法“應(yīng)該有所保留”。

　　“首先是因?yàn)樗麄兪菦]有良心的罪犯，不能被信任。其次是因?yàn)樗麄儫o法完全控制附屬公司，”他說?！拔覀儗?shí)際上知道 BlackMatter 對醫(yī)療保健提供者的攻擊。正在發(fā)生，”。

　　此外，“即使犯罪分子為醫(yī)療機(jī)構(gòu)提供免費(fèi)解密器，這些攻擊仍會(huì)對生命構(gòu)成重大風(fēng)險(xiǎn)，”他說。

　　例如，在5月對愛爾蘭公共衛(wèi)生系統(tǒng)——衛(wèi)生服務(wù)執(zhí)行官——的勒索軟件攻擊中，據(jù)報(bào)道，Conti團(tuán)伙提供了一個(gè)免費(fèi)的解密器，但恢復(fù)過程仍然需要數(shù)周時(shí)間。

　　“正如 HSE 案例所證明的那樣，即使組織擁有解密密鑰，恢復(fù)也可能是一個(gè)非常漫長的過程。中斷可能會(huì)持續(xù)數(shù)周甚至數(shù)月，”他說。

　　卡洛還表示，盡管早期懷疑與REvil 有聯(lián)系，但BlackMatter 似乎是“Darkside（黑暗面）的改頭換面”——負(fù)責(zé)攻擊Colonial（殖民地）管道的團(tuán)伙?！拔遗c他們和REvil之間沒有任何聯(lián)系，除了可能共享的附屬機(jī)構(gòu)，”他指出。

　　BlackMatter特征

　　HC3 警報(bào)指出，BlackMatter的目標(biāo)系統(tǒng)是Windows和Linux服務(wù)器，并且“勒索軟件 [是] 用 C 編寫的，它使用 Salsa20 和 1024 位 RSA 的組合來加密文件，”HC3 說。

　　此外，HC3 表示BlackMatter 勒索軟件：

　　嘗試掛載和加密未掛載的分區(qū)；

　　定位存儲(chǔ)在本地和網(wǎng)絡(luò)共享上的文件，以及可移動(dòng)介質(zhì)；

　　可以在加密之前終止進(jìn)程；

　　在加密過程中刪除卷影副本并忽略特定目錄、文件或文件擴(kuò)展名；

　　可配置為通過 HTTP 或 HTTPS 將系統(tǒng)信息上傳到遠(yuǎn)程服務(wù)器；

　　收集系統(tǒng)信息，如系統(tǒng)名稱、用戶名、域、語言信息和枚舉驅(qū)動(dòng)器列表。

　　高度復(fù)雜

　　HC3特別指出，BlackMatter 是一個(gè)“高度復(fù)雜、出于經(jīng)濟(jì)動(dòng)機(jī)的網(wǎng)絡(luò)犯罪活動(dòng)”。BlackMatter集團(tuán)可能來自東歐，并且講俄語。目標(biāo)國家包括美國、印度、巴西、智利、泰國等。

　　到目前為止，目標(biāo)行業(yè)包括法律、房地產(chǎn)、IT 服務(wù)、食品和飲料、建筑、教育和金融。該咨詢稱，該組織還在積極尋找用于勒索軟件部署的初始訪問經(jīng)紀(jì)人和附屬機(jī)構(gòu)。

　　BlackMatter 被認(rèn)為是9月8日對Olympus公司網(wǎng)絡(luò)攻擊的幕后黑手，Olympus是一家生產(chǎn)光學(xué)和復(fù)印產(chǎn)品的日本公司（參見：日本科技巨頭奧林巴斯遭到勒索攻擊導(dǎo)致部分網(wǎng)絡(luò)關(guān)閉）。

　　退休的聯(lián)邦調(diào)查局監(jiān)督特工、律師事務(wù)所 Faegre Drinker Biddle & Reath LLP 的律師Jason G. Weiss 說，BlackMatter 只是全球大約 20 個(gè)已知和活躍的勒索軟件團(tuán)伙之一。

　　“所有這些勒索軟件團(tuán)伙都是……尤其是對醫(yī)療保健行業(yè)的真實(shí)存在的危險(xiǎn)，”他說。

　　“醫(yī)療保健部門每天都在處理生死攸關(guān)的事情……商業(yè)文件加密的風(fēng)險(xiǎn)持續(xù)存在，而且在許多情況下，這些勒索軟件攻擊還攻擊了他們控制這些實(shí)際基礎(chǔ)設(shè)施的‘運(yùn)營技術(shù)'OT網(wǎng)絡(luò)。醫(yī)療保健實(shí)體被置于危險(xiǎn)之中?！?/p>

　　防范步驟

　　HC3為醫(yī)療保健部門實(shí)體提供了許多建議的防御和緩解措施。其中包括：

　　實(shí)施白名單技術(shù)，確保只有經(jīng)過授權(quán)的軟件才能執(zhí)行；

　　提供基于最小權(quán)限原則的訪問控制；

　　維護(hù)反惡意軟件解決方案；

　　進(jìn)行系統(tǒng)加固以確保正確的配置；

　　禁用 SMBv1以及所有其他易受攻擊的服務(wù)和協(xié)議，并且至少需要 SMBv2。

　　此外，企業(yè)應(yīng)該限制、減少或消除RDP的使用，HC3說。