在最近發(fā)生的一系列中斷主要業(yè)務(wù)的事件中，KADOKAWA 公司經(jīng)歷了延伸到多個(gè)網(wǎng)站的服務(wù)中斷。最初看似技術(shù)故障的事件很快升級(jí)為由臭名昭著的 BlackSuit 勒索軟件組織策劃的全面勒索軟件攻擊。五周前，BlackSuit 聲稱對(duì)此次攻擊負(fù)責(zé)，并發(fā)出最后通牒：要么滿足他們的贖金要求，要么在 7 月 1 日公開發(fā)布被盜信息。

Deep Instinct 威脅實(shí)驗(yàn)室的深入分析顯示，BlackSuit 的戰(zhàn)術(shù)和技術(shù)發(fā)生了巨大演變。該勒索軟件現(xiàn)在采用的是先進(jìn)的混淆方法，包括將其有效載荷偽裝成奇虎 360 殺毒軟件的合法組件。與早期版本相比，最新的 BlackSuit 樣本的檢測(cè)率要低得多，這表明威脅行為者在刻意規(guī)避安全措施。

VirusTotal 檢測(cè)率

最新的樣本包含編碼字符串和導(dǎo)入 DLL ，旨在阻止分析工作。強(qiáng)制性 ID 參數(shù)繞過了自動(dòng)仿真，提高了規(guī)避能力。最有影響的變化之一是將勒索軟件偽裝成知名免費(fèi)殺毒軟件奇虎 360 的合法組成部分，這包括虛假水印，大大降低了檢測(cè)率。偽裝文件雖然沒有簽名，但與奇虎真正的 QHAccount.exe 文件非常相似，從而有效地規(guī)避了安全軟件。

BlackSuit 還集成了一些高級(jí)功能，如用于加密的非對(duì)稱密鑰交換、刪除影子副本以禁止輕松恢復(fù)，以及禁用安全模式和關(guān)閉系統(tǒng)的功能。加密后的文件會(huì)添加 .blacksuit 擴(kuò)展名，并附帶贖金說明（通常名為 readme.blacksuit.txt）。

BlackSuit 勒索軟件采用了多種初始攻擊載體，包括使用竊取憑證的 RDP、VPN 和防火墻漏洞、帶宏的 Office 電子郵件附件、torrent 網(wǎng)站、惡意廣告和第三方木馬。攻擊者還利用 CobaltStrike、WinRAR、PUTTY、Rclone、Advanced IP Scanner、Mimikatz 和 GMER 等工具。這種多樣化的載體使 BlackSuit 的目標(biāo)更為廣泛，危及大量數(shù)據(jù)。

BlackSuit 泄密網(wǎng)站上的受害者資料示例

另外，BlackSuit 在暗網(wǎng)上運(yùn)營著一個(gè)新聞和泄密網(wǎng)站，一旦過了贖金的截止日期，他們就會(huì)在網(wǎng)站上公布受害者的外泄數(shù)據(jù)。這些資料包括受影響組織的關(guān)鍵信息，如行業(yè)、員工人數(shù)、收入和聯(lián)系方式等。

參考來源：https://securityonline.info/blacksuits-advanced-ransomware-tactics-exposed-masquerades-as-antivirus/