近日，專家對(duì)兩起勒索軟件攻擊分析發(fā)現(xiàn)，BlackCat和BlackMatter的戰(zhàn)術(shù)、技術(shù)和程序(TTPs)有重疊之處，表明這兩個(gè)組織之間有很強(qiáng)的聯(lián)系。

雖然勒索軟件組織針對(duì)其攻擊的能見度增加而重塑行動(dòng)是很典型的，但BlackCat(又名Alphv)標(biāo)志著一個(gè)新的領(lǐng)域，即該網(wǎng)絡(luò)犯罪組織是由其他勒索軟件即服務(wù)(RaaS)行動(dòng)的附屬機(jī)構(gòu)建立的。

BlackCat于2021年11月首次出現(xiàn)，此后在過去幾個(gè)月里針對(duì)世界各地的幾個(gè)組織，它被稱為與BlackMatter相似，BlackMatter勒索軟件，源于DarkSide，它在2021年5月對(duì)Colonial Pipeline的高調(diào)攻擊引起了人們的注意。

在上個(gè)月接受Recorded Future的The Record采訪時(shí)，BlackCat的一位代表否認(rèn)了關(guān)于它是BlackMatter的重塑的猜測，同時(shí)指出它是由其他RaaS集團(tuán)有關(guān)的附屬機(jī)構(gòu)組成的。

"在某種程度上，我們都與gandrevil [GandCrab / REvil]、blackside [BlackMatter / DarkSide]、mazegreggor [Maze / Egregor]、lockbit等有聯(lián)系。"我們借用了他們的優(yōu)勢，消除了他們的劣勢。"

"BlackCat似乎是一個(gè)垂直業(yè)務(wù)擴(kuò)張的案例"Cisco Talos研究人員Tiago Pereira和Caitlin Huey說：“從本質(zhì)上講，這是一種控制上游供應(yīng)鏈的方式，使對(duì)他們的業(yè)務(wù)至關(guān)重要的服務(wù)(RaaS運(yùn)營商)更適合他們的需求，并增加另一個(gè)收入來源"。

更重要的是，網(wǎng)絡(luò)安全公司說，目前觀察到2021年9月的BlackMatter攻擊和2021年12月的BlackCat攻擊之間有一些共同點(diǎn)，包括使用的工具和文件名，以及為保持對(duì)目標(biāo)網(wǎng)絡(luò)的持續(xù)訪問而采用的一個(gè)域名。

這種重疊使用相同的命令和控制地址的情況引起了一種可能性，即使用BlackMatter的分支機(jī)構(gòu)可能是BlackCat的早期采用者之一，這兩種攻擊都需要15天以上的時(shí)間才能達(dá)到加密階段。

"正如我們以前多次看到的那樣，RaaS服務(wù)來了又走。然而，他們的附屬機(jī)構(gòu)可能會(huì)簡單地轉(zhuǎn)移到一個(gè)新的服務(wù)。研究人員說："隨著他們的到來，許多TTPs可能會(huì)持續(xù)存在。

這些發(fā)現(xiàn)是在黑莓公司詳細(xì)介紹了一個(gè)新的基于.NET的勒索軟件家族，名為LokiLocker，不僅是加密文件，而且還包括一個(gè)可選的擦除功能，旨在清除所有非系統(tǒng)文件，并在受害者拒絕在指定時(shí)間內(nèi)付款的情況下覆蓋主引導(dǎo)記錄(MBR)。

"研究人員說："LokiLocker作為一個(gè)有限訪問的勒索軟件即服務(wù)計(jì)劃，似乎被賣給了相對(duì)較少的經(jīng)過仔細(xì)審查的分支機(jī)構(gòu)，閉門造車。至少從2021年8月開始活躍，到目前為止檢測到的大多數(shù)受害者都集中在東歐和亞洲。