目送泄漏站点关闭时,研究人员却发现了 BlackCat“版本 3”闪现。
有消息称 ALPHV/BlackCat 勒索软件团伙正在关闭其运营,这可能是一场退出骗局,研究人员发布了该勒索软件二进制文件的新技术细分。
Trustwave SpiderLabs 周三发布的报告深入探讨了 BlackCat 勒索软件自去年 12 月首次遭到 FBI 破坏后卷土重来以来部署中使用的远程访问和隐形策略。
ALPHV/BlackCat 的泄密网站于周五第二次关闭,现已被 FBI 删除通知所取代,安全专家称该通知可能是假的。
据 BleepingComputer 报道,检查该网站后发现,删除横幅是从档案中提取的,欧洲刑警组织和国家犯罪局 (NCA) 否认参与了删除活动,尽管他们的徽标出现在页面上。
该网络犯罪团伙的运营商声称,由于执法部门的干预,他们计划停止运营,并以 500 万美元的价格出售 BlackCat 勒索软件源代码,但此举是在该网络犯罪团伙声称对此次攻击负责后,从自己的一个附属公司那里窃取了 2200 万美元赎金之后采取的。改变医疗保健。这导致该团伙的行为被许多人贴上“退出骗局”的标签。
“根据我们的经验,我们认为 BlackCat 声称因执法压力而关闭的说法是一个骗局。我们预计他们会在中断后以新的形式或品牌回归。”Trustwave 的首席威胁追踪者 Reegun Jayapaul 在一封电子邮件中告诉 SC Media。“这种策略是他们执行最后一次重大骗局的一种手段,然后在较少的审查下重新浮出水面。”
无论 ALPHV/BlackCat 以不同的名称回归,还是勒索软件即服务 (RaaS) 病毒被出售并接受新的管理,组织都应该对 BlackCat 的勒索软件策略保持警惕,尽管发生了奇怪的变化。
Trustwave SpiderLabs 威胁狩猎团队的全球总监 Shawn Kanady 告诉 SC Media:“无论 BlackCat 是否出售其源代码,威胁行为者总是在磨练和发展他们的技术。”
BlackCat 勒索软件“版本 3”中发现新的隐形功能
Trustwave 研究人员研究的 BlackCat 变体比以前的版本更加难以捉摸,因为执行勒索软件二进制文件需要独特的 64 字符十六进制访问令牌。卡纳迪告诉 SC Media,这增加了研究人员下载恶意软件样本并通过传统方式研究代码的难度。
“我们能够从受感染的机器中提取这个版本。这让我们很好地了解了它的部署方式以及它的功能,”康迪说。“这个版本与其他版本的主要区别在于对访问令牌的严格要求。每个令牌对其受害者来说都是唯一的,并且恶意软件只会使用该令牌执行。”
Trustwave 指出 BlackCat 使用两种类型的合法远程访问软件(Total Software Deployment 和 ScreenConnect)来秘密建立对受感染系统的后门访问。这与 CISA、FBI 和 HHS 上周发布的联合公告相对应,该公告强调该团伙使用合法的远程访问软件来逃避检测。
“版本 3”BlackCat 变种的另一个重要方面是将恶意软件可执行文件命名为“update.exe”。
“这是为了故意触发UAC(Windows用户帐户控制)。在大多数情况下,最终用户只需单击“是”,恶意软件就会获得提升的权限。”Kanady 解释道。
分析显示,批处理脚本被用来禁用 Windows Defender 和 SmartScreen 等安全措施——政府通报中也概述了这些策略。
结合对目标机器的详细分析以避免触发警报的操作,以及阻止“嘈杂”自我传播活动的命令,这些功能使得 BlackCat 变体擅长在检测到文件存在之前对其进行加密和泄露。
卡纳迪说,这就是为什么组织应该在勒索软件部署之前重点关注可以预防的事情。
Kanada 表示:“在这种情况下,BlackCat 使用合法凭据在没有 MFA 的情况下登录,然后继续安装远程访问工具。” “在可登录的外部系统上没有 MFA 是一个非常大的安全风险。这很容易避免。”
卡纳迪还建议“监控未经授权的软件安装、新的应用程序服务或来自未知来源的入站流量。”
政府联合咨询还建议将批准的远程访问程序列入白名单,并监控网络中的 BlackCat 妥协指标 (IoC)。
发表评论
您还未登录,请先登录。
登录