自2017年WannaCry席卷全球以來，勒索軟件攻擊不斷升級、演變。如今的攻擊規(guī)模、影響及破壞效果都在顯著擴大，不容小覷。

根據(jù)《2022年年中網(wǎng)絡(luò)威脅報告》顯示，僅2022年1-6月全球就記錄了2.361億次勒索軟件攻擊。同時，其他報告中也曾提到：80%的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者認(rèn)為勒索軟件是對公共安全的重大威脅，并預(yù)測勒索軟件損害將從2015年的3.25億美元增長至2031年的2650億美元。

隨著勒索軟件的情況愈演愈烈，全球制造、金融、能源、醫(yī)療、政府組織等關(guān)鍵領(lǐng)域幾乎無一幸免。在某些勒索事件中，勒索組織向受害者索取的高額贖金甚至可能影響國家的正常運作能力。

在眾多勒索軟件中，BlackCat憑借其獨特的適應(yīng)性和先進的技術(shù)特性在近年來的勒索事件中“脫穎而出”。

BlackCat勒索軟件（又名AlphaVM、AlphaV或ALPHV）于2021年11月中旬首次被Malwarehuntertam研究人員披露，是第一個基于RUST語言編寫的專業(yè)勒索軟件家族系列，并因其高度定制化和個性化的攻擊而迅速贏得市場。

該軟件不僅能夠在各種企業(yè)環(huán)境進行攻擊，還在短期內(nèi)成功執(zhí)行了多次引人注目的攻擊，受害者包括汽車消費電子巨頭 Voxx Electronics、美國法院、知名手表品牌Seiko等等。

BlackCat泄密網(wǎng)站

BlackCat屢下“黑手”，行業(yè)巨頭也難幸免

自2021年11月30日起，BlackCat勒索軟件背后的攻擊組織開始在Tor網(wǎng)站專用數(shù)據(jù)泄露站點（DLS）陸續(xù)發(fā)布受害者信息和竊取到的數(shù)據(jù)。

截至2023年7月3日，其DLS中存在434名受害者信息，而實際受害者數(shù)量遠(yuǎn)超過這個數(shù)字，這部分內(nèi)容是未滿足受害者需求或新添加的受害者信息，及從受害者系統(tǒng)中竊取到的數(shù)據(jù)。攻擊者在需求被滿足或出于其他原因，會移除受害者信息和竊取到的數(shù)據(jù)。

由此可見，BlackCat團伙的攻擊頻率在逐年持續(xù)增加，未來將是針對全球企業(yè)的最重要的勒索軟件威脅之一。

憑借著快速的升級迭代，BlackCat勒索團伙在2023年帶來了“不俗”的表現(xiàn)。

今年5月初，汽車消費電子巨頭 Voxx Electronics遭遇BlackCat攻擊。根據(jù)該公司的公開信息顯示，BlackCat 在單獨的 Voxx 泄漏頁面上列出了一長串從公司竊取的數(shù)據(jù)類型，包括銀行和財務(wù)記錄、內(nèi)部源數(shù)據(jù)及Voxx 客戶和合作伙伴的機密文件，并發(fā)布了一個隨機數(shù)據(jù)樣本。

泄露的 Voxx 數(shù)據(jù)樣本

BlackCat要求 Voxx在72小時內(nèi)支付贖金，否則，他們不僅將公開出售這些數(shù)據(jù)，還會將這起攻擊事件告知給 Voxx 的所有客戶，并附帶機密文件的下載地址。

當(dāng)時BlackCat曾透露，他們之所以這么做，是因為最初 Voxx拒絕與他們合作，拒絕合作將被視為完全同意將客戶和合作伙伴的數(shù)據(jù)公開到公共領(lǐng)域，并將其用于犯罪目的。

5月下旬，BlackCat勒索軟件攻擊了美國法院，證券交易委員會（SEC）和國防部（DoD）使用的Casepoint平臺。

Casepoint是一家知名的法律技術(shù)公司，不少國家法律部門、律師事務(wù)所以及公共機構(gòu)都會使用它來瀏覽數(shù)據(jù)。用戶將文檔上傳到Casepoint的云數(shù)據(jù)庫，該庫即可對數(shù)據(jù)進行流暢的分析。

美國國家信用合作社管理局(NCUA)、酒店運營商萬豪、德國工業(yè)巨頭蒂森克虜伯、學(xué)術(shù)醫(yī)療中心梅奧診所、鐵路運營商BNSF鐵路等都是Casepoint的客戶。

BlackCat在攻擊了Casepoint后非法訪問了2TB敏感數(shù)據(jù)，其中包括執(zhí)法部門與谷歌、Facebook母公司Meta等科技公司的互動。

BlackCat方面堅稱，他們獲取了警方的“Operation Blooming Onion”特別行動數(shù)據(jù)，這是一項由美國幾家執(zhí)法機構(gòu)牽頭的人口販運調(diào)查，揭示了農(nóng)業(yè)組織是將外國工人偷運到美國的全過程。該組織通過此次攻擊行動，獲得了極其敏感的數(shù)據(jù)，比如特工和主管的姓名，以及與該行動有關(guān)的交易照片。

由此可見，無論是財富500強也好，行業(yè)巨頭企業(yè)也罷，沒有一家組織能夠幸免勒索軟件的攻擊。

BlackCat的殺手锏：三重勒索策略

在攻擊策略方面，BlackCat采用的是三重勒索策略，在“竊取數(shù)據(jù)+加密文件”雙重勒索策略上，還增加了騷擾或DDoS攻擊威脅，從而構(gòu)成多重勒索。

攻擊者首先會識別系統(tǒng)中最薄弱的環(huán)節(jié)并通過漏洞闖入，一旦成功進入，他們就會獲取其最敏感的數(shù)據(jù)，并在系統(tǒng)中對其進行解密，隨即繼續(xù)更改系統(tǒng) Active Directory 中的用戶帳戶。

成功入侵 Active Directory 后，BlackCat 可以配置有害的組策略對象 (GPO) 來處理勒索軟件數(shù)據(jù)。接下來是禁用系統(tǒng)內(nèi)的任何安全基礎(chǔ)設(shè)施以避免障礙。在看不到任何安全防御措施的情況下，他們會繼續(xù)使用 PowerShell 腳本感染系統(tǒng)。

繼而攻擊者會向受害者索要贖金，威脅要破壞數(shù)據(jù)解密密鑰，發(fā)起分布式拒絕服務(wù)攻擊，或者直接將泄露的數(shù)據(jù)公開。這些行為中的每一個都將受害者置于非常狹窄的角落。在大多數(shù)情況下，他們都會面臨被迫付清贖金的結(jié)局。

倘若受害者未在最后期限支付贖金，BlackCat還會進行DDoS攻擊，這使得該組織的勒索攻擊對受害者極具壓迫性。當(dāng)然，有時候也存在“不加密只勒索”的情況，是當(dāng)前勒索軟件攻擊組織轉(zhuǎn)變勒索模式的趨勢之一。

上述情況并非 BlackCat 所特有；其他 RaaS 攻擊采用相同的過程。但 BlackCat 勒索軟件的一個不同之處在于它使用了 Rust 語言編寫，這是BlackCat的一個主要“賣點”。

BlackCat首次被Malwarehuntertam披露

Rust是一種更安全的跨平臺編程語言，能夠進行并發(fā)處理。通過利用此編程語言，攻擊者能夠輕松地針對Windows和Linux等各種操作系統(tǒng)架構(gòu)對其進行編譯，這有助于該勒索軟件快速傳播。同時由于RUST提供了眾多自主開發(fā)的選項，通過命令行調(diào)用的BlackCat 可實現(xiàn)更具個性化的攻擊。

BlackCat勒索軟件載荷通過Rust編程語言編寫，執(zhí)行載荷需要一個特定的Access Token參數(shù)，解密獲取寫入勒索載荷文件中的加密配置文件。配置文件為攻擊者入侵受害系統(tǒng)后，根據(jù)受害系統(tǒng)實際情況而設(shè)定的文件內(nèi)容，配置文件中包括要停止的服務(wù)和進程列表，跳過加密的白名單目錄、文件和文件擴展名列表等內(nèi)容。未獲得Access Token參數(shù)則無法執(zhí)行載荷文件，目的是阻礙安全研究人員和沙箱工具對載荷進行分析。

圖片來源：安天

另外，根據(jù)官方說明，BlackCat 勒索軟件支持四種加密模式。但據(jù) SentinelLabs 研究員 Aleksandar Milenkoski 對 BlackCat 勒索軟件樣本進行逆向分析得出其加密模式實際存在 6 種，具體描述如下表。

來源：天際友盟BlackCat勒索軟件系列報告

除了編寫方式、加密模式外，BlackCat 在整個攻擊過程中使用到的工具也值得關(guān)注。其使用到的工具包括遠(yuǎn)程控制工具Cobalt Strike，用于恢復(fù)存儲密碼的 Mimikatz、LaZagne 和 WebBrowserPassView， 以及竊取數(shù)據(jù)的 GO Simple Tunnel (GOST)、MEGAsync 和 ExMatter。此外，在一些 BlackCat 勒索軟件活動中，攻擊者還被觀察到利用了諸如 fileshredder 之類的反取證工具。

利用這些工具，BlackCat 通過命令行進行操作，支持多種細(xì)節(jié)配置，允許自定義文件擴展名、贖金說明、加密模式。 其自帶一個加密配置，包含要終止的服務(wù) / 進程列表、避免加密的目錄 / 文件 / 文件擴展名列表以及來自受害者環(huán)境 的被盜憑證列表以實現(xiàn)持久化。它會刪除所有卷影副本，使用 CMSTPLUA COM 接口執(zhí)行權(quán)限提升，并在受害者機器上啟用“遠(yuǎn)程到本地”和“遠(yuǎn)程到遠(yuǎn)程”鏈接，最終幫助BlackCat實現(xiàn)個性化攻擊。

在過去的兩年中，作為勒索軟件即服務(wù)(RaaS)商業(yè)模式的一部分，BlackCat勒索軟件運營商一直在不斷發(fā)展和更新他們的工具。

今年11月，BlackCat運營商宣布對他們的工具進行更新，包括一個名為Munchkin的實用程序，它允許攻擊者將BlackCat有效負(fù)載傳播到遠(yuǎn)程設(shè)備和受害者組織網(wǎng)絡(luò)上的共享。

在最新發(fā)現(xiàn)的樣本中，Unit 42的研究人員獲得了一個獨特的Munchkin樣本，加載在自定義的Alpine虛擬機(VM)中。這種利用自定義虛擬機來部署惡意軟件的新策略在最近幾個月得到了越來越多的應(yīng)用，允許勒索軟件攻擊者使用虛擬機來繞過部署惡意軟件有效負(fù)載的安全解決方案。

Munchkin進程示意圖

Munchkin實用程序以ISO文件的形式提供，在VirtualBox虛擬化產(chǎn)品的新安裝樣本中加載。這個ISO文件代表了Alpine操作系統(tǒng)的自定義實現(xiàn)，攻擊者可能會選擇它，因為它占用空間小。

在執(zhí)行命令的過程中，惡意軟件最初將虛擬機的根密碼更改為攻擊者選擇的密碼，隨后通過內(nèi)置的tmux實用程序生成一個新的終端會話，該實用程序用于執(zhí)行名為controller的惡意軟件二進制文件。惡意軟件完成執(zhí)行后，會關(guān)閉虛擬機?？刂破鲪阂廛浖c其他相關(guān)文件一起托管在/app目錄中。此外，虛擬機操作系統(tǒng)中還包含其他相關(guān)且值得注意的文件。

虛擬機操作系統(tǒng)中包含的文件路徑及有關(guān)描述

除了上面提到的文件，大量的Python腳本直接存在于/usr/bin中，BlackCat操作符可以在VM的后續(xù)更新中使用這些腳本。攻擊者可以使用上面的許多Python腳本進行橫向移動、密碼轉(zhuǎn)儲和在受害者網(wǎng)絡(luò)上進一步執(zhí)行惡意指令。

不得不說，BlackCat 不僅找到了繞過現(xiàn)有防御策略的有效方法，還隨著時代的變化不斷升級，確保了自己的存在“壽命”。 BlackCat的與時俱進使得他在勒索軟件的領(lǐng)域中，“遙遙領(lǐng)先”于其他競爭對手。

警惕BlackCat新變種，主動防御是上策

諸如BlackCat這樣的勒索軟件攻擊作為一種最為常見的網(wǎng)絡(luò)安全威脅之一，發(fā)生頻率極高，無論是對于個人還是企業(yè)來說，其造成的危害、損失及影響都是不可預(yù)估的。

據(jù)資料顯示，BlackCat 人員與 DarkSide/BlackMatter 前勒索團伙還可能存在一定淵源，這表明其幕后的行為者經(jīng)驗極其豐富，且該勒索團伙所采用的三重勒索策略近年來一直在隨著市場環(huán)境“推陳出新”。種種跡象表明，BlackCat 團伙未來仍將成為勒索軟件市場的主要參與者之一。雖然 BlackCat 目前的重點攻擊目標(biāo)是國外用戶，但國內(nèi)用戶也應(yīng)加強防范，規(guī)避此類風(fēng)險。

• 首先，做好資產(chǎn)梳理與分級分類管理、建立完整的資產(chǎn)清單，識別內(nèi)部系統(tǒng)與外部第三方系統(tǒng)間的連接關(guān)系十分關(guān)鍵，尤其是域合作伙伴共享控制的區(qū)域，可降低勒索軟件從第三方系統(tǒng)進入的風(fēng)險。
• 其次，嚴(yán)格訪問控制策略、創(chuàng)建防火墻規(guī)則，僅允許特定的 IP 地址訪問；限制可使用 RDP 的用戶為特權(quán)用戶；設(shè)置訪問鎖定策略，調(diào)整賬戶鎖定閾值與鎖定持續(xù)時間等配置；為管理員級別和更高級別設(shè)置的賬戶實施基于時間的訪問。
• 同時，做好身份驗證管理。設(shè)置復(fù)雜密碼，并保持定期更換登錄口令習(xí)慣；多臺機器，切勿使用相同的賬號和口令；啟用多因素身份驗證 (MFA) ；并做到及時更新系統(tǒng)補丁，定期檢查、修補系統(tǒng)漏洞，尤其針對高?；?0day 漏洞。
• 最后，備份重要數(shù)據(jù)和系統(tǒng)也十分關(guān)鍵?？稍谖锢砩溪毩踩奈恢?，比如硬盤驅(qū)動器、存儲設(shè)備、云端等保留敏感或?qū)Ｓ袛?shù)據(jù)的多個副本，以最大程度的減輕風(fēng)險。