美方揭露：勒索软件BlackMatter针对美国重大基础设施发动攻击

美国联邦调查局（FBI）、网络安全及基础设施安全局（CISA）与国家安全局（NSA）周一（10/18）联手揭露了勒索软件BlackMatter的攻击行动，指出BlackMatter自今年7月起就锁定美国的多个重大基础设施展开攻击，包括当地的两个食品与农业组织。虽然美国并未公布受害者，但其中一个应是今年9月遭到攻击的爱荷华州谷物合作社New Cooperative。

FBI、CISA与NSA此次的揭露主要是为了提供有关BlackMatter的细节，例如骇客是利用轻型目录存取协定（Lightweight Directory Access Protocol，LDAP）与服务器讯息区块（Server Message Block，SMB）协定来存取Active Directory，以取得所入侵网络的所有主机名单，再自远端将它们加密。

已有多家资安业者认为BlackMatter与当初攻击美国最大燃油管道系统Colonial Pipeline的DarkSide勒索软件有许多共同之处，可能是由同样的成员所打造，或者是双方关系紧密，至于美国官方的报告中也指出，BlackMatter很可能是DarkSide卷土重来之作。

根据调查，BlackMatter骇客是利用先行盗取的管理员或使用者凭证入侵组织网络，借由LDAP与SMB协定来发现AD上的所有主机，针对Linux机器采用不同的加密程式，并定期加密ESXi虚拟机器，此外，BlackMatter并未加密备份系统，而是选择将备份资料全部清除或重新格式化。

FBI、CISA与NSA也公布了BlackMatter骇客的攻击手法及所使用的技术，从进驻系统、存取凭证、找到所有主机、横向移动、汲取资料、加密资料到清除所有备份等，而骇客所要求的赎金介于8万美元到1,500万美元之间，必须以比特币或门罗币支付。

防范勒索软件的程序大同小异，包括部署侦查机制、使用强大的密码、采用多因素认证、及时修补与更新系统、限制网络的存取能力、隔离重要系统，以及建立离线备份等。