一种新型的 BlackCat 勒索软件(也称为 ALPHV)在 2021 年 11 月至 2022 年 3 月期间感染了全球至少 60 个不同的组织。
在联邦调查局(FBI)进行的一项调查报告中,BlackCat是一个勒索软件即服务(RaaS)参与者,他成功地使用了RUST,RUST被认为是一种更安全的编程语言,可提供可靠的性能改进和并发处理。
BlackCat勒索软件本身是可定制的,支持多种加密方法和选项,可以轻松地针对各种企业环境定制攻击。
自今年年初以来,联邦调查局发布了其他警告,强调了包括BlackByte,Ragnar Locker和Avoslocker在内的勒索软件团伙如何瞄准并破坏了美国数十个关键基础设施组织。
“BlackCat通常要求以比特币和门罗币支付以换取解密密钥,尽管请求通常以百万计,但它通常接受低于初始请求的付款,”联邦调查局说。
此外,BlackCat还与Darkside(又名Blackmatter)有着密切的联系,该组织在操作恶意软件和勒索软件攻击方面拥有广泛的网络和经验。
“BlackCat / ALPHV的许多开发人员和洗钱者都与Darkside / Blackmatter有关,这表明他们在勒索软件操作方面拥有广泛的网络和经验,”联邦调查局说。
DarkSide RaaS行动于2020年8月启动,并于2021年5月关闭,此前执法机构在对殖民地管道事件进行广泛宣传的袭击后试图打倒该团伙。
虽然它们在7月31日被重命名为BlackMatter,但在Emsisoft发现并利用勒索软件漏洞创建解密器之后,它们被迫在2021年11月再次关闭,并且该团伙的服务器被扣押。
黑猫勒索软件团伙如何攻击其受害者
通常,攻击始于帐户遭到入侵,使攻击者能够提前访问目标终结点。然后,该组会破坏 Active Directory 用户和管理员的帐户,并使用 Windows 任务计划程序配置恶意组策略对象 (GPO) 来传播勒索软件。
最初的部署使用了PowerShell脚本以及Cobalt Strike,并禁用了受害者网络中的安全功能。
然后,攻击者在锁定系统之前下载尽可能多的数据。他们甚至试图从他们能找到的任何云托管提供商那里提取数据。最后,在Windows脚本的帮助下,BlackCat可以将勒索软件部署到其他主机。
FBI 还创建了建议缓解措施的完整列表,包括查看新用户帐户或未知用户帐户的域控制器、服务器、工作站和活动目录。
此外,用户可以定期备份数据,查看未知计划任务的任务计划程序,并要求管理员凭据才能执行任何软件安装过程。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)