盡管BlackMatter勒索團伙聲稱其并未針對醫院等“關鍵基礎設施”組織開展活動，但聯邦監管機構正在提醒醫療保健和公共衛生部門實體注意 BlackMatter潛在的勒索軟件攻擊的“高度威脅”。據統計，2020年，美國至少有92家醫療機構遭受勒索軟件攻擊，平均勒索金額為169446美元，網絡犯罪分子從美國醫療行業獲得的勒索金額估計為1560萬美元。

　　在 9月2 日發布的威脅簡報中，美國衛生與公眾服務部（HHS）下設的網絡安全協調委員會（HC3）指出，BlackMatter 惡意軟件于 7 月首次出現，并被懷疑是 DarkSide和REvil RaaS 業務的繼任者。

　　作為對HHS警報的回應，BlackMatter的一名代表聲稱，該組織不會攻擊包括醫院在內的各種行業，如果這些實體受到攻擊，那么該公司可以要求“免費解密”。

　　根據HC3的警報，BlackMatter 聲稱：“我們不會允許我們的項目用于勒索關鍵基礎設施，這會引起我們不必要的關注。”

　　網絡犯罪的目的是贖金

　　安全公司Emsisoft 的威脅分析師布雷特·卡洛 （Brett Callow） 表示，出于幾個原因，該團伙的說法“應該有所保留”。

　　“首先是因為他們是沒有良心的罪犯，不能被信任。其次是因為他們無法完全控制附屬公司，”他說。“我們實際上知道 BlackMatter 對醫療保健提供者的攻擊。正在發生，”。

　　此外，“即使犯罪分子為醫療機構提供免費解密器，這些攻擊仍會對生命構成重大風險，”他說。

　　例如，在5月對愛爾蘭公共衛生系統——衛生服務執行官——的勒索軟件攻擊中，據報道，Conti團伙提供了一個免費的解密器，但恢復過程仍然需要數周時間。

　　“正如 HSE 案例所證明的那樣，即使組織擁有解密密鑰，恢復也可能是一個非常漫長的過程。中斷可能會持續數周甚至數月，”他說。

　　卡洛還表示，盡管早期懷疑與REvil 有聯系，但BlackMatter 似乎是“Darkside（黑暗面）的改頭換面”——負責攻擊Colonial（殖民地）管道的團伙。“我與他們和REvil之間沒有任何聯系，除了可能共享的附屬機構，”他指出。

　　BlackMatter特征

　　HC3 警報指出，BlackMatter的目標系統是Windows和Linux服務器，并且“勒索軟件 [是] 用 C 編寫的，它使用 Salsa20 和 1024 位 RSA 的組合來加密文件，”HC3 說。

　　此外，HC3 表示BlackMatter 勒索軟件：

　　嘗試掛載和加密未掛載的分區；

　　定位存儲在本地和網絡共享上的文件，以及可移動介質；

　　可以在加密之前終止進程；

　　在加密過程中刪除卷影副本并忽略特定目錄、文件或文件擴展名；

　　可配置為通過 HTTP 或 HTTPS 將系統信息上傳到遠程服務器；

　　收集系統信息，如系統名稱、用戶名、域、語言信息和枚舉驅動器列表。

　　高度復雜

　　HC3特別指出，BlackMatter 是一個“高度復雜、出于經濟動機的網絡犯罪活動”。BlackMatter集團可能來自東歐，并且講俄語。目標國家包括美國、印度、巴西、智利、泰國等。

　　到目前為止，目標行業包括法律、房地產、IT 服務、食品和飲料、建筑、教育和金融。該咨詢稱，該組織還在積極尋找用于勒索軟件部署的初始訪問經紀人和附屬機構。

　　BlackMatter 被認為是9月8日對Olympus公司網絡攻擊的幕后黑手，Olympus是一家生產光學和復印產品的日本公司（參見：日本科技巨頭奧林巴斯遭到勒索攻擊導致部分網絡關閉）。

　　退休的聯邦調查局監督特工、律師事務所 Faegre Drinker Biddle & Reath LLP 的律師Jason G. Weiss 說，BlackMatter 只是全球大約 20 個已知和活躍的勒索軟件團伙之一。

　　“所有這些勒索軟件團伙都是……尤其是對醫療保健行業的真實存在的危險，”他說。

　　“醫療保健部門每天都在處理生死攸關的事情……商業文件加密的風險持續存在，而且在許多情況下，這些勒索軟件攻擊還攻擊了他們控制這些實際基礎設施的‘運營技術'OT網絡。醫療保健實體被置于危險之中。”

　　防范步驟

　　HC3為醫療保健部門實體提供了許多建議的防御和緩解措施。其中包括：

　　實施白名單技術，確保只有經過授權的軟件才能執行；

　　提供基于最小權限原則的訪問控制；

　　維護反惡意軟件解決方案；

　　進行系統加固以確保正確的配置；

　　禁用 SMBv1以及所有其他易受攻擊的服務和協議，并且至少需要 SMBv2。

　　此外，企業應該限制、減少或消除RDP的使用，HC3說。