天极按
近日,网络安全和基础设施安全局(CISA)和联邦调查局 (FBI) 发布了一份联合公告,向各组织通报与名为 ALPHV Blackcat 的勒索软件即服务相关的策略、技术和程序以及危害指标。ALPHV Blackcat 威胁行为者通过进行开源研究并使用先进的社会工程技术获得对公司的初步访问权限,然后部署远程访问软件来窃取数据。
联邦调查局(FBI)和网络安全和基础设施安全局(CISA)发布本联合CSA,以传播与ALPHV Blackcat勒索软件即服务(RaaS)相关的已知IOC 和TTP,这些IOC 和TTP 是最近在2023 年12 月6 日通过FBI 调查发现的。
本公告对2022年4月19日发布的FBI FLASH BlackCat/ALPHV勒索软件破坏指标进行了更新。自上次报告以来,ALPHV Blackcat 行为者发布了新版本的恶意软件,FBI在全球范围内确定了1000 多名通过勒索软件和/或数据勒索成为目标的受害者。
联邦调查局和 CISA鼓励关键基础设施组织实施本CSA 中缓解措施部分的建议,以降低ALPHV Blackcat 勒索软件和数据勒索事件发生的可能性和影响。
2023 年 2月,ALPHV Blackcat 管理员宣布 ALPHV Blackcat 勒索软件 2.0 Sphynx 更新,该更新经过重写,为附属机构提供了更多的功能,如更好的防御规避和更多的工具。ALPHV Blackcat 更新版能够加密Windows 和Linux 设备以及VMWare 实例。ALPHV Blackcat 的附属机构拥有广泛的网络,在勒索软件和数据勒索行动方面经验丰富。据联邦调查局称,截至2023 年 9月,ALPHV Blackcat 关联公司已入侵1000 多个实体--其中近75% 在美国境内,约250 个在美国境外--索要的赎金超过5 亿美元,收到的赎金近3 亿美元。
注:本公告使用MITRE ATT&CK® for Enterprise 框架第14 版。请参阅"MITRE ATT&CK 战术和技术"部分,查看与MITRE ATT&CK战术和技术相对应的威胁行为者活动表。有关将恶意网络活动映射到MITRE ATT&CK 框架的帮助,请参阅CISA 和MITRE ATT&CK 的《MITRE ATT&CK 映射最佳实践》和CISA 的Decider 工具。
ALPHV Blackcat 分支机构使用先进的社交工程技术和对公司的开放源代码研究来获得初始访问权。行为者冒充公司IT和/或服务台员工,使用电话或短信[T1598]从员工处获取访问目标网络的凭证[T1586]。ALPHV Blackcat 分支机构使用统一资源定位器(URL)与受害者实时聊天,传达要求并启动恢复受害者加密文件的程序。
在访问受害者网络后,ALPHV Blackcat 分支机构会部署AnyDesk、Mega sync 和Splashtop等远程访问软件,为数据外泄做准备。接入网络后,ALPHV Blackcat 分支机构使用合法的远程访问和隧道工具,如Plink 和Ngrok [S0508]。ALPHV Blackcat 附属机构声称使用Brute Ratel C4 [S1063] 和Cobalt Strike [S1054]作为指挥和控制服务器的信标。ALPHV Blackcat 分支机构使用开源的中间对手攻击[T1557]框架Evilginx2,这使他们能够获取多因素身份验证(MFA)凭证、登录凭证和会话cookies。他们还从域控制器、本地网络和已删除的备份服务器获取密码,以便在整个网络中横向移动[T1555]。
为了躲避检测,关联公司会使用允许列表应用程序,如Metasploit。一旦安装到域控制器上,交换服务器上的日志就会被清除。然后使用Mega.nz 或Dropbox移动、渗出和/或下载受害者数据。然后部署勒索软件,并将赎金说明嵌入为file.txt。根据公开报告,附属机构还使用POORTRY 和STONESTOP 终止安全进程。
一些ALPHV Blackcat分支机构在获取访问权限后会外渗数据,并在不部署勒索软件的情况下勒索受害者。在渗出和/或加密数据后,ALPHV Blackcat 分支机构会通过TOR [S0183]、Tox、电子邮件或加密应用程序与受害者通信。然后,威胁行为者会从受害者系统中删除受害者数据。ALPHV Blackcat 分支机构主动提供网络修复建议作为付款奖励,向受害者提供"漏洞报告"和"安全建议",详细说明他们是如何侵入系统的,以及在收到赎金后如何防止今后再次受害。
请参见表1 至表3,了解本警告中所有参考的威胁行为者战术和技术。
表1:ALPHV "黑猫"/ALPHV "威胁行为者"的攻击和拦截技术- 侦查
表2:ALPHV黑猫/ALPHV威胁行动者ATT&CK 技术- 资源开发
表3:ALPHV Blackcat/ALPHV 威胁行为者ATT&CK 技术- 凭证访问
如果检测到入侵,组织应:
1.隔离或下线可能受影响的主机。
2.为受影响的主机重新制作镜像。
3.提供新账户凭证。
4.收集并审查运行中的进程/服务、不寻常的身份验证和最近的网络连接等人工制品。
5.通过CISA 的全天候运营中心向CISA报告泄密或网络钓鱼事件。州、地方、部落或领地政府实体也可向MS-ISAC 报告。
6.要报告欺骗或网络钓鱼企图,请向联邦调查局互联网犯罪投诉中心(IC3)投诉,或联系您当地的联邦调查局外地办事处报告事件。
联邦调查局和CISA建议各组织实施以下缓解措施,以根据威胁行为者的活动改善组织的网络安全态势,并降低ALPHV Blackcat威胁行为者入侵的风险。这些缓解措施与CISA 和国家标准与技术研究院(NIST) 制定的跨部门网络安全性能目标(CPG) 相一致。CPGs提供了一套CISA 和NIST 建议所有组织实施的最低实践和保护措施。CISA和NIST 以现有的网络安全框架和指南为基础制定了CPGs,以防范最常见、影响最大的威胁、战术、技术和程序。请访问CISA 的跨部门网络安全绩效目标,了解有关CPGs 的更多信息,包括其他建议的基准保护措施。
-
通过以下方式确保远程访问工具的安全:
o实施应用程序控制,以管理和控制软件的执行,包括允许远程访问程序列表。应用程序控制应防止安装和执行未经授权的远程访问软件和其他软件的便携版本。正确配置的应用程序允许列表解决方案将阻止任何未列入列表的应用程序的执行。允许列表非常重要,因为当文件使用任何压缩、加密或混淆组合时,防病毒解决方案可能无法检测到恶意便携式可执行文件的执行。
o应用CISA 的《远程访问软件安全联合指南》中的建议。
-
实施 FIDO/WebAuthn 身份验证或基于公钥基础设施 (PKI) 的 MFA [CPG2.H]。这些 MFA 实施可抵御网络钓鱼,不易受到推送轰炸或 SIM 卡交换攻击,而这些攻击是 ALPHV Blackcat 附属机构已知会使用的技术。有关更多信息,请参阅 CISA 的 "实施防网络钓鱼 MFA 的概况介绍"。
-
使用网络监控工具识别、检测和调查异常活动和可能穿越所指示勒索软件的活动。为帮助检测勒索软件,应使用一种工具来记录和报告所有网络流量[CPG 5.1],包括网络上的横向移动活动。端点检测和响应 (EDR) 工具有助于检测横向连接,因为它们可以深入了解每台主机的常见和不常见网络连接。
-
定期教育用户识别可疑电子邮件和链接,不与这些可疑项目互动,以及报告打开可疑电子邮件、链接、附件或其他潜在诱惑的重要性。
-
实施内部邮件和信息监控。监控内部邮件和信息流量以识别可疑活动至关重要,因为用户可能会在目标网络之外或在组织安全团队不知情的情况下被钓鱼。建立正常网络流量基线,并仔细检查任何偏差。
-
使用免费的安全工具,防止网络威胁行为者将用户重定向到恶意网站以窃取他们的凭据。欲了解更多信息,请参阅 CISA 的免费网络安全服务和工具网页。
-
安装并维护杀毒软件。防病毒软件可识别恶意软件并保护计算机免受其侵害。安装信誉良好的供应商提供的杀毒软件是预防和检测感染的重要一步。一定要直接访问供应商网站,而不是点击广告或电子邮件链接。由于攻击者不断制造新的病毒和其他形式的恶意代码,因此保持杀毒软件的更新非常重要。
除了应用缓解措施外,CISA还建议针对本建议中映射到MITRE ATT&CK for Enterprise 框架的威胁行为,对贵组织的安全计划进行演练、测试和验证。CISA建议测试您现有的安全控制清单,以评估它们在与本建议中描述的ATT&CK 技术相对照时的表现。
1.选择本指南中介绍的一种ATT&CK 技术(见表1-3)。
2.根据该技术调整您的安全技术。
3.根据技术测试您的技术。
4.分析检测和预防技术的性能。
5.对所有安全技术重复上述过程,以获得一组全面的性能数据。
6.根据此流程生成的数据调整您的安全计划,包括人员、流程和技术。CISA和FBI建议继续在生产环境中大规模测试您的安全计划,以确保根据本建议中确定的MITRE ATT&CK 技术实现最佳性能。
-
Stopransomware.gov 是一种整体政府方法,它提供了一个集中的勒索软件资源和警报位置。
-
降低勒索软件攻击风险的资源:#StopRansomware 指南。
-
免费网络卫生服务:网络卫生服务和勒索软件就绪评估。
原文始发于微信公众号(天极智库):【国际视野】网络安全和基础设施安全局和联邦调查局联合发布《ALPHV Blackcat 勒索软件公告》
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论