盡管BlackMatter勒索團伙聲稱其并未針對醫(yī)院等“關鍵基礎設施”組織開展活動，但聯(lián)邦監(jiān)管機構(gòu)正在提醒醫(yī)療保健和公共衛(wèi)生部門實體注意 BlackMatter潛在的勒索軟件攻擊的“高度威脅”。據(jù)統(tǒng)計，2020年，美國至少有92家醫(yī)療機構(gòu)遭受勒索軟件攻擊，平均勒索金額為169446美元，網(wǎng)絡犯罪分子從美國醫(yī)療行業(yè)獲得的勒索金額估計為1560萬美元。

　　在 9月2 日發(fā)布的威脅簡報中，美國衛(wèi)生與公眾服務部（HHS）下設的網(wǎng)絡安全協(xié)調(diào)委員會（HC3）指出，BlackMatter 惡意軟件于 7 月首次出現(xiàn)，并被懷疑是 DarkSide和REvil RaaS 業(yè)務的繼任者。

　　作為對HHS警報的回應，BlackMatter的一名代表聲稱，該組織不會攻擊包括醫(yī)院在內(nèi)的各種行業(yè)，如果這些實體受到攻擊，那么該公司可以要求“免費解密”。

　　根據(jù)HC3的警報，BlackMatter 聲稱：“我們不會允許我們的項目用于勒索關鍵基礎設施，這會引起我們不必要的關注?！?/p>

　　網(wǎng)絡犯罪的目的是贖金

　　安全公司Emsisoft 的威脅分析師布雷特·卡洛 （Brett Callow） 表示，出于幾個原因，該團伙的說法“應該有所保留”。

　　“首先是因為他們是沒有良心的罪犯，不能被信任。其次是因為他們無法完全控制附屬公司，”他說?！拔覀儗嶋H上知道 BlackMatter 對醫(yī)療保健提供者的攻擊。正在發(fā)生，”。

　　此外，“即使犯罪分子為醫(yī)療機構(gòu)提供免費解密器，這些攻擊仍會對生命構(gòu)成重大風險，”他說。

　　例如，在5月對愛爾蘭公共衛(wèi)生系統(tǒng)——衛(wèi)生服務執(zhí)行官——的勒索軟件攻擊中，據(jù)報道，Conti團伙提供了一個免費的解密器，但恢復過程仍然需要數(shù)周時間。

　　“正如 HSE 案例所證明的那樣，即使組織擁有解密密鑰，恢復也可能是一個非常漫長的過程。中斷可能會持續(xù)數(shù)周甚至數(shù)月，”他說。

　　卡洛還表示，盡管早期懷疑與REvil 有聯(lián)系，但BlackMatter 似乎是“Darkside（黑暗面）的改頭換面”——負責攻擊Colonial（殖民地）管道的團伙?！拔遗c他們和REvil之間沒有任何聯(lián)系，除了可能共享的附屬機構(gòu)，”他指出。

　　BlackMatter特征

　　HC3 警報指出，BlackMatter的目標系統(tǒng)是Windows和Linux服務器，并且“勒索軟件 [是] 用 C 編寫的，它使用 Salsa20 和 1024 位 RSA 的組合來加密文件，”HC3 說。

　　此外，HC3 表示BlackMatter 勒索軟件：

　　嘗試掛載和加密未掛載的分區(qū)；

　　定位存儲在本地和網(wǎng)絡共享上的文件，以及可移動介質(zhì)；

　　可以在加密之前終止進程；

　　在加密過程中刪除卷影副本并忽略特定目錄、文件或文件擴展名；

　　可配置為通過 HTTP 或 HTTPS 將系統(tǒng)信息上傳到遠程服務器；

　　收集系統(tǒng)信息，如系統(tǒng)名稱、用戶名、域、語言信息和枚舉驅(qū)動器列表。

　　高度復雜

　　HC3特別指出，BlackMatter 是一個“高度復雜、出于經(jīng)濟動機的網(wǎng)絡犯罪活動”。BlackMatter集團可能來自東歐，并且講俄語。目標國家包括美國、印度、巴西、智利、泰國等。

　　到目前為止，目標行業(yè)包括法律、房地產(chǎn)、IT 服務、食品和飲料、建筑、教育和金融。該咨詢稱，該組織還在積極尋找用于勒索軟件部署的初始訪問經(jīng)紀人和附屬機構(gòu)。

　　BlackMatter 被認為是9月8日對Olympus公司網(wǎng)絡攻擊的幕后黑手，Olympus是一家生產(chǎn)光學和復印產(chǎn)品的日本公司（參見：日本科技巨頭奧林巴斯遭到勒索攻擊導致部分網(wǎng)絡關閉）。

　　退休的聯(lián)邦調(diào)查局監(jiān)督特工、律師事務所 Faegre Drinker Biddle & Reath LLP 的律師Jason G. Weiss 說，BlackMatter 只是全球大約 20 個已知和活躍的勒索軟件團伙之一。

　　“所有這些勒索軟件團伙都是……尤其是對醫(yī)療保健行業(yè)的真實存在的危險，”他說。

　　“醫(yī)療保健部門每天都在處理生死攸關的事情……商業(yè)文件加密的風險持續(xù)存在，而且在許多情況下，這些勒索軟件攻擊還攻擊了他們控制這些實際基礎設施的‘運營技術'OT網(wǎng)絡。醫(yī)療保健實體被置于危險之中?！?/p>

　　防范步驟

　　HC3為醫(yī)療保健部門實體提供了許多建議的防御和緩解措施。其中包括：

　　實施白名單技術，確保只有經(jīng)過授權(quán)的軟件才能執(zhí)行；

　　提供基于最小權(quán)限原則的訪問控制；

　　維護反惡意軟件解決方案；

　　進行系統(tǒng)加固以確保正確的配置；

　　禁用 SMBv1以及所有其他易受攻擊的服務和協(xié)議，并且至少需要 SMBv2。

　　此外，企業(yè)應該限制、減少或消除RDP的使用，HC3說。