Агентство кибербезопасности и безопасности инфраструктуры США, Федеральное бюро расследований и Агентство национальной безопасности опубликовали подробное описание принципа работы вымогателя BlackMatter. Также организации предоставили инструкцию, которая может помочь компаниям защититься от зловреда.
BlackMatter начал свою деятельность в июле 2021 года. Злоумышленники преследовали цель взломать корпоративные сети компаний в США, Канаде, Австралии и Великобритании. В качестве жертв выбирались организации с доходом не менее 100 млн долларов. Зловред шифрует данные системы компании и требует выкуп в размере 15 млн долларов за восстановление доступа и сохранение конфиденциальности полученной информации. Средства злоумышленники просят перечислять в криптовалюте.
Специалисты исследовали один из вариантов вредоносного ПО в изолированной среде и выяснили, что вирус использовал скомпрометированные учетные данные администраторов сети для обнаружения всех хостов в Active Directory. Кроме того, BlackMatter использовал функцию Microsoft Remote Procedure Call, позволяющую получить все доступные сетевые ресурсы для каждого хоста.
Также шифровщик портирован на Linux, версия для которой может шифровать виртуальные серверы VMware ESXi, используемые в компаниях для управления ресурсами.
На основе полученных данных исследователи создали сигнатуры для Snort — системы обнаружения и предотвращения вторжений с открытым исходным кодом.
Сигнатура для обнаружения вторжений:
alert tcp any any -> any 445 ( msg:"BlackMatter remote encryption attempt"; content:"|01 00 00 00 00 00 05 00 01 00|"; content:"|2e 00 52 00 45 00 41 00 44 00 4d 00 45 00 2e 00 74 00|"; distance:100; detection_filter: track by_src, count 4, seconds 1; priority:1; sid:11111111111; )Сигнатура для встроенной системы предотвращения вторжений:
alert tcp any any -> any 445 ( msg:"BlackMatter remote encryption attempt"; content:"|01 00 00 00 00 00 05 00 01 00|"; content:"|2e 00 52 00 45 00 41 00 44 00 4d 00 45 00 2e 00 74 00|"; distance:100; priority:1; sid:10000001; )
rate_filter gen_id 1, sig_id 10000001, track by_src, count 4, seconds 1, new_action reject, timeout 86400Кроме того, организации рекомендуют использовать уникальные пароли для разных типов пользователей корпоративной сети и подключить двухфакторную аутентификацию.
Также специалисты представили ряд дополнительных мер защиты:
ограничить доступ к сетевым ресурсам для пользовательских служб и учетны записей;
сегментировать сеть и мониторить ее на предмет подозрительных активностей;
предоставлять временный доступ для учетных записей с правами администратора;
отключить поддержку командной строки и сценариев для пользователей, которым нет нужды использовать эти функции в работе;
регулярно создавать резервные копии сети.
Для критических важных ресурсов агентства рекомендуют:
отключить хранение паролей в памяти LSASS;
по возможности отказаться от использования NTLM и WDigest;
внедрить Credential Guard для Windows 10 и Server 2016;
для Windows Server 2012R2 включить Protected Process Light для LSA.
На данный момент BlackMatter является одним из самых крупных вымогателей. Разработчик зловреда — хакерская группировка DarkSide. Злоумышленники похищают данные пользователей, шифруют их и требуют выкуп. Если в течении установленного срока хакеры не получают средства, то публикуют информацию на своем сайте с утечками. Сейчас на портале злоумышленников представлены данные компаний из различных сфер, среди которых производители одежды, продуктов питания, программного обеспечения и гаджетов.
