漏洞、社交工程
远程桌面协议攻击
它的攻击方式多种多样
具备高隐蔽性
逃避检测能力优秀
善于攻击企业和政府机构
它就是恶贯满盈的BlackMatter勒索家族
何为BlackMatter?
BlackMatter勒索家族于2021年7月首次出现,因其专注于企业和政府机构作为攻击目标,并索要高额赎金而引起了广泛关注。该勒索家族使用的攻击方式和技术相对先进,具有高度的隐蔽性和逃避检测的能力,这使得它们对传统的安全防御机制构成了挑战。
BlackMatter使用的攻击方式通常涉及利用漏洞、社交工程、远程桌面协议(RDP)攻击,通过网络入侵和渗透,获得对目标系统的初始访问权限。一旦BlackMatter勒索软件成功进入系统,它会加密受害者的文件,并要求支付高额的赎金以获取解密密钥。该勒索家族还采用了反调试功能和反虚拟化技术来阻碍安全研究人员的分析。
【BlackMatter勒索信】
BlackMatter勒索软件攻击流程
BlackMatter勒索家族的攻击方式和其他勒索软件家族类似,主要通过恶意邮件、漏洞攻击和远程桌面协议(RDP)攻击等方式进行传播。
攻击者采用社会工程学策略,向目标用户发送钓鱼邮件,诱导客户点击附件或者是恶意链接,下载恶意软件。
借助大规模的漏洞扫描行为来定位潜在目标,利用流行的应用程序漏洞提升权限,或者通过服务器部署服务的漏洞,突破防御设备,获得初始访问权限。
通过 RDP 暴力破解或者密码爆破的方式获得初始访问权限。
在获得对网络的初始访问权限后,其会利用系统上已开启的RDP服务,远程登录到受感染的主机,并将其作为跳板机,在内网横向传播。
【BlackMatter勒索攻击流程】
亚信安全建议
全面部署安全产品,保持相关组件及时更新;
检查系统及应用软件是否存在高危漏洞,请及时修复漏洞或者升级版本;
关闭非必要对外服务,必须的对外服务加强安全防护;
尽量关闭不必要的默认共享,避免被横向传播;
尽量关闭不必要的端口;
采用高强度密码,避免使用弱口令,避免多个密码相同,定期更换密码;
请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
亚信安全产品解决方案
●亚信安全新一代终端安全TrustOne
亚信安全新一代终端安全TrustOne可持续不间断发现、评估组织类可被黑客利用的薄弱环节,并显性化、危险指数量化这些薄弱点,通过攻击面管理提供的各项缓解功能,在攻击发生前快速修复。此外,针对攻击链的每个阶段,不同的攻击手段,TrustOne融合了各种防护能力,通过威胁情报、攻防对抗、机器学习等方式,从终端文件、性能、进程、行为等多维度来评估网络中存在的已知、未知攻击风险。
●亚信安全传统病毒码版本18.565.60,云病毒码版本18.565.71,全球码版本18.565.00已经可以检测,请用户及时升级病毒码版本;
●亚信安全梦蝶防病毒引擎可以检测该类型病毒,可检测的病毒码版本为1.6.0.164;
注意:以上测试均是在产品联网情况下进行的