勒索軟體BlackMatter針對美國重大基礎設施發動攻擊

S觀察員

勒索軟體BlackMatter針對美國重大基礎設施發動攻擊

消息來源：
https://www.ithome.com.tw/news/147346

美國聯邦調查局（FBI）、網路安全及基礎設施安全局（CISA）與國家安全局（NSA）10/18日 聯手揭露了 勒索軟體 BlackMatter 的攻擊行動，指出BlackMatter自今年7月起就鎖定美國的多個重大基礎設施展開攻擊，包括當地的兩個食品與農業組織。其中一個應是今年9月遭到攻擊的愛荷華州穀物合作社New Cooperative。


防止被勒索結論

現在勒索軟體都差不多！

四個口訣：隔離、備份、密碼、更新

隔離！不能讓網路芳鄰能方便存取重要資料夾
除了隔離限制網路存取能力，防止勒索軟體擴散之外
備份也很重要，以上隔離方式總有漏洞的
再來是源頭的登入密碼長度複雜度、以及系統的及時更新



利用 LDAP與SMB 協定加密 ESXi虛擬機器

FBI、CISA與NSA也公布了BlackMatter駭客的攻擊手法及所使用的技術，BlackMatter駭客 是利用先行盜取的管理員或使用者憑證入侵組織網路，藉由LDAP（Lightweight Directory Access Protocol，LDAP）與SMB（Server Message Block，SMB）協定來發現AD（Active Directory）上的所有主機，針對Linux機器採用不同的加密程式，並定期加密ESXi虛擬機器，BlackMatter 針對備份的部分，不採用加密手段，而是直接全部清除或重新格式化。
駭客所要求的贖金介於8萬美元到1,500萬美元之間，必須以比特幣或門羅幣支付。


若有用到 LDAP 或 SMB，需特別注意隔離重要網路，儘管是個人使用環境，也要稍微注意一下是否有開啟這些服務

多家資安業者認為BlackMatter與當初攻擊美國最大燃油管道系統Colonial Pipeline的DarkSide勒索軟體有許多共同之處，可能是由同樣的成員所打造



除了密碼還需要限制網路的存取能力、隔離重要系統

防範勒索軟體的程序大同小異，包括部署偵查機制、使用強大的密碼、採用多因素認證、及時修補與更新系統、限制網路的存取能力、隔離重要系統，以及建立離線備份等。