ALPHV(又名BlackCat)是最近发现的勒索恶意软件家庭,于2021年11月中旬揭幕, 这是政府第一次做出选择。由于其复杂性和创新性,它立即在圈子中得到承认。根据目前的分析,BlackCat公司使用敲诈软件,作为服务提供(RaaS)。近些年来, 数位博客积极利用互联网在知名的网络犯罪论坛上促销商业。协调的黑客组织被允许使用敲诈恶意软件,并保留高达90%的赎金。BlackCat用更极端的方法勒索受害者。大约一个月后超过十几个受害者的身份 通过他们的泄露网站被披露迄今为止,该组织的大多数受害者是美国组织。另一方面,黑猫及其联系组织袭击了欧洲、菲律宾和其他地方的地点。受害者包括建筑和工程公司、零售、运输、商业服务、保险、机械、专业服务、电信、汽车零部件和药品。
出于各种原因,BlackCat勒索软件的使用不断增加。相比之下,Avos Locker(生于2021年6月底)只透露了少数受害者的资料。一个可能的方面是有效推销合作社团体。要做的工作比仅仅提供诱人的赎金价格还要多。该团体经常在匿名勒索软件市场(RAMP)等网站为合作者做广告。
病毒完全用俄文写成并用拉斯特编程语言写。这不是第一个使用Rust的恶意软件,然而,它还是使用其勒索软件的第一批(如果不是第一个的话)国家之一。此编程语言允许您使用不同的操作系统结构可以简单地由恶意软件开发者汇编。鉴于对自我发展的多种选择,鲁斯特是相当可定制的。这有助于建立自定的能力,设计个人化攻击。
使用黑猫组织(又称黑猫组织)的攻击者使用了各种策略,这些策略在敲诈软件领域越来越普遍。值得注意的是,在某些情况下,他们采用一系列勒索手段。这涉及在使用敲诈恶意软件之前盗窃受害者数据。如果受害者不支付赎金,并遭到分批拒绝服役的袭击,受害者将无法支付这笔钱。则会威胁发布数据。
为了查明并劝阻黑卡公司敲诈恶意软件,帕洛阿尔托网络公司使用以下产品和服务:Cortex XDR和下一代防火墙(包括安全订阅云传播,如野火)。
由于恶意行为的增加,帕洛阿尔托网络开发了威胁评估,以提高总体认识。 检测到的技术、相关行动方针和海委会的全面可视化可以在该股42 ATOOM查看器中查看。
BlackCat勒索软件概览
BlackCat利用众所周知的网络犯罪论坛,得到了一个合作团体的帮助。这促使公司安装其勒索软件。共同工作的组织持有80%至90%的赎金。其余土地由BlackCat开发商持有。在成为RaaS成员之前,对这些合作团体进行质询和评估。确认会员后,他们将只能进入托尔基控制小组,获得受托管理人访问许可。
控制器是用俄文写成的使成员及时了解勒索软件的执行和运作情况,以及解决问题的建议。协助成员在其行动中进行有效攻击。除了控制面板,还主办了一个公布信息的网站。它猎杀无视或拒绝支付赎金要求的受害者。自从组织首次发现后网站即时更新,
如下图所示,许多RaaS供应商采用双重勒索策略,其中许多人采用同样的技术。换句话说,这是加密前的数据盗窃。这使他们在索要赎金方面更有影响力。2021年12月42分队的勒索追踪计划BlackCat泄漏现场确认的受害者是第五多的受害者。鉴于该团体自2021年11月20日以来只为公众所知,因此,其令人难以置信的增长率是相当惊人的。尽管Conti(排在第二位)在过去两年中作了若干修改,但它无法产生显著的差别。暴力家庭的发展已经吞噬了它。LockBit 2. 至少比BlackCat早六个月然而,这揭示了一种趋势。新手或改革后的团体可能在短期内针对大量受害者。
在2021年12月的网站上,有关目标受害者的统计数据被泄露。
通过泄漏网站信息,显示受黑猫攻击影响的受害者的地点和类型。受害者包括建筑和工程公司、零售、运输、商业服务、保险、机械、专业服务、电信、汽车零部件和药品。以下地图按国家/区域说明伤亡地点。然而,到目前为止,攻击的零散扩散可能意味着一种相当投机的战略。完全像大多数 新的勒索软件家庭。
按国家/区域分列的黑猫组织受害者情况
技术细节
由于使用 Rust 编码的多种替代品,BlackCat很适合量身定制、用户定义的攻击。分散式方案规划越来越受欢迎,因为其快速和高绩效、强大的网络应用程序开发、低销售的嵌入式编程和记忆管理解决方案。Rust也协助黑猫公司开发商, 并为黑猫公司项目的进展提供帮助。因为它在支持勒索软件加密的算法方面 相当强大由于其多功能和效率,据说BlackCat同时袭击了Windows和Linux的计算机。
用于执行《黑猫公约》的替代办法
扭曲软件的实施涉及为持续攻击目的使用存取标记,使沙箱环境中的分析更具挑战性。
BlackCat 的配置
在审查勒索软件设置时我们观察了各种不同的逃生技术这些技术被用来使防御系统退化或失效。我们正处在某事的中间, 我们正处在某事的中间, 我们正处在某事的中间, 我们正处在某事的中间, 我们正处在某事的中间, 我们正处在某事的中间, 我们正处在某事的中间, 我们正处在某事的中间, 我们正处在某事的中间,这些程序能够锁定驱动器上的打开文件 。在试图对这些文件加密时,这造成了空白。BlackCat试图终止一些流程和服务。挫败或挫败安全解决方案和备份。所调查的程序如下:
对照感染系统提供的服务,对下列清单进行检测:
为确保长期可行性,黑卡公司勒索软件从加密中删除了重要的系统和应用目录以及关键部件,以使系统和勒索软件不必再次困难地确保长期可行性,黑卡公司勒索软件从加密中删除了重要的系统和应用目录以及关键部件,以使系统和勒索软件不再相互重叠。
排除的文件名如下:
任何带有符合以下条件之一的扩展名的文件也将被避免 :
由于BlackCat敲诈软件设置中保存的硬编码票券,可以想象具体受害者成为目标。BlackCat有能力在受害人的系统或网络内横向移徙。通常具有管理权限。记录片访问使敲诈软件能够部署更多的工具来宣传攻击。
相关工具
在整个攻击过程中,看到黑猫公司使用各种(一般合法)工具。例如,Mimikatz、LaZagne和WebBrowser PassView都恢复了保存的密码。此外,Go Simple Tunel(GOST)和MEGASync泄漏数据。此外,在BlackCat敲诈软件攻击案 由42股调查它还采用诸如变压器等反证据技术。程序可以安全地移除无法恢复的不想要的文件 。
攻击后活动
攻击者一旦发现加密系统后 就能使用这个系统进行加密就会部署勒索软件,此外,所有可用的文件都将加密。此过程通常需要重新命名文件, 添加另一个或不同的扩展名 。如下图所示,Wpzlbji就是一个例子。和勒索软件的其余部分一样BlackCat的勒索软件 将向黑客系统发送勒索信件我不知道这是怎么回事如何得到他们的数据回来。名称为RECOVER-[RANDOM]-files.txt(其中[RANDOM]与先前指定的文件扩展名相对应)的文本文件将在损坏的系统中被发现。以下实例包括信息和说明:
这是BlackCat勒索失密系统的例子
BlackCat利用了一种同类的洋葱域。该区域有一个受害者专用准入钥匙和一个 " 一种实物 " 准入钥匙。受害者可以利用关键信息了解更多关于攻击、其数据以及如何使用的数据。以及攻击者期望受害者下一步做什么。以下 URL 显示 BlackCat 敲诈软件使用的符号 :
一旦受害者能够拿到"洋葱"网站的报价他们将看到与下面插图相似的景象。网站强调这一空白。获取数据的唯一方法是 通过攻击者的解密程序私人密钥该门户还提供聊天设施、根据付款时间表支付的赎金和付款方法。以及测试解密有效性的机制
在Theonion网站上,
42股发现黑猫公司参与其中,要求赎金高达1 400万美元。但是,如果在最后期限之前支付,赎金价格可以降低到900万美元。有趣的是,受害者不仅可以支付比特币(最受欢迎的选择),还可以支付比特币。以门罗语支付也有可能。
在某些情况下,BlackCat运营商利用聊天恐吓受害者。据博客说,如果不支付赎金,将付出代价。他们将对受害者基础设施发动DDoS攻击。如果在使用泄漏网站的用途之外出现使用,在使用泄漏网站的用途之外出现使用,则不可行。这被称为三重勒索。Avaddon和Suncrypt等组织已经采用了这种办法。我将Avaddon的勒索病毒 归类为2020年全球10次 爆发的病毒之一2020年6月,它首次在俄罗斯地下黑客论坛上出售。勒索病毒是用C++编程语言写的SunCrypt首次出现于2019年10月。
BlackCat勒索软件的一个不寻常特征是,只有那些有钥匙或赎金记录的人才能阅读谈判讨论,这表明BlackCat正在努力防止第三方发现。
总结
BlackCat勒索软件和操作员(TTP)使用的方法、技术和程序见本文件的说明。为了防止他们受到攻击,他们被直接描绘成帕洛阿尔托网络的产品和服务。它还就如何保证其设备安装正确向客户提供咨询。
勒索软件黑猫攻击程序
黑猫是一个新的 和尖端的勒索者。他们的高度专业化和个性化攻击迅速夺取了市场。使用了Rust编程语言。制造恶意软件很容易适应许多操作系统的结构。这有助于该组织迅速扩展。和任何勒索软件的家族一样BlackCat采用RaaS模式运作,并采用许多勒索手段。然后将泄漏情况公之于众,以便进一步迫使受害者支付赎金。
Palo Alto网络使用下列方法识别和阻止黑卡公司勒索恶意软件:
一. Wild Fire:查明了所有已知的恶意软件样本;
Cortex XDR有两个特点:
BlackCat指标;
用于检测黑卡加密的视窗的反驱逐软件包;
Windows BlackCat 的本地二进制文件分析;
In Linux, BTP限制防止敲诈软件操作。
第三, DNS 签名识别已知的指挥和控制(C2)字段,这些字段在 URL 过滤器中也归类为恶意软件。
BlackCat ATOM含有与BlackCat相关的目标及TTP。
抱歉, Palalto networks. 这篇文章是我们专用于报导2011年埃及抗争的部分内容。