BlackCat勒索软件集团的目标是拥有Windows和Linux易受攻击系统的公司
网络安全公司卡巴斯基的研究人员发现了勒索软件组织BlackCat的两起事件,BlackCat是当今勒索软件市场的主要参与者之一。
在最近一份题为“坏运气黑猫”的报告中,卡巴斯基研究人员了解到在进行攻击时使用的工具和技术证实了BlackCat与其他知名勒索软件组织(如BlackMatter和REvil)之间的联系。
BlackCat勒索软件组织是至少自2021年12月以来一直在运营的威胁行为者。与许多其他勒索软件行为者不同,BlackCat恶意软件是用Rust编程语言编写的。
“由于Rust的高级交叉编译功能,BlackCat可以针对Windows和Linux系统。换句话说,BlackCat引入了渐进式进步和技术变革,以应对勒索软件开发的挑战,“卡巴斯基全球研究与分析团队(GReAT)的安全研究员Dmitry Galov说。
该演员声称自己是BlackMatter和REvil等知名勒索软件组织的继承者。在卡巴斯基发现的两起事件中,一起显示了共享云托管资源带来的风险,另一起展示了一种敏捷的方法,可以在BlackMatter和BlackCat活动中重用特定恶意软件。
第一起案件是针对企业资源规划(ERP)提供商的攻击,这些提供商在中东地区易受攻击,并托管多个站点。
攻击者同时将两个不同的可执行文件发送到同一物理服务器,目标是虚拟环境中托管的两个不同组织。
“尽管该组织将受感染的服务器误解为两个不同的物理系统,但攻击者留下了一个重要的印记,以确定BlackCat的操作风格,”加洛夫说。
卡巴斯基研究人员得出结论,该参与者利用了跨云资源共享资产的风险。此外,在这种情况下,该小组还会发送Mimikatz批处理文件以及nirsoft网络密码恢复可执行文件和实用程序。
第二起案件涉及南美洲的石油,天然气,采矿和建筑公司,并揭示了BlackCat和BlackMatter勒索软件活动之间的联系。
此勒索软件攻击背后的附属公司不仅试图在目标网络内提供BlackCat勒索软件,而且还在勒索软件交付之前安装了一个名为Fendr的修改后的自定义渗滤实用程序。
该实用程序也称为ExMatter,以前专门用作BlackMatter勒索软件活动的一部分。
“一旦REvil和BlackMatter组织关闭运营,它就不必等待很长时间,让另一个勒索软件组织接管他们的利基市场。恶意软件开发的知识,用不寻常的编程语言从头开始编写的新示例以及维护基础架构的经验,使BlackCat集团成为勒索软件市场的主要参与者。
通过分析这一重大事件,卡巴斯基研究人员强调了BlackCat在渗透其目标网络时使用的关键功能,工具和技术。
“这些知识有助于我们维护用户的安全性并保护用户免受已知和未知威胁的侵害,”加洛夫说。
“我们敦促网络安全社区联合起来,共同努力打击新的网络犯罪集团,以实现更安全的未来。