自2017年WannaCry席卷全球以來，勒索軟件攻擊不斷升級(jí)、演變。如今的攻擊規(guī)模、影響及破壞效果都在顯著擴(kuò)大，不容小覷。

根據(jù)《2022年年中網(wǎng)絡(luò)威脅報(bào)告》顯示，僅2022年1-6月全球就記錄了2.361億次勒索軟件攻擊。同時(shí)，其他報(bào)告中也曾提到：80%的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者認(rèn)為勒索軟件是對(duì)公共安全的重大威脅，并預(yù)測(cè)勒索軟件損害將從2015年的3.25億美元增長(zhǎng)至2031年的2650億美元。

隨著勒索軟件的情況愈演愈烈，全球制造、金融、能源、醫(yī)療、政府組織等關(guān)鍵領(lǐng)域幾乎無一幸免。在某些勒索事件中，勒索組織向受害者索取的高額贖金甚至可能影響國(guó)家的正常運(yùn)作能力。

在眾多勒索軟件中，BlackCat憑借其獨(dú)特的適應(yīng)性和先進(jìn)的技術(shù)特性在近年來的勒索事件中“脫穎而出”。

BlackCat勒索軟件（又名AlphaVM、AlphaV或ALPHV）于2021年11月中旬首次被Malwarehuntertam研究人員披露，是第一個(gè)基于RUST語言編寫的專業(yè)勒索軟件家族系列，并因其高度定制化和個(gè)性化的攻擊而迅速贏得市場(chǎng)。

該軟件不僅能夠在各種企業(yè)環(huán)境進(jìn)行攻擊，還在短期內(nèi)成功執(zhí)行了多次引人注目的攻擊，受害者包括汽車消費(fèi)電子巨頭 Voxx Electronics、美國(guó)法院、知名手表品牌Seiko等等。

BlackCat泄密網(wǎng)站

BlackCat屢下“黑手”，行業(yè)巨頭也難幸免

自2021年11月30日起，BlackCat勒索軟件背后的攻擊組織開始在Tor網(wǎng)站專用數(shù)據(jù)泄露站點(diǎn)（DLS）陸續(xù)發(fā)布受害者信息和竊取到的數(shù)據(jù)。

截至2023年7月3日，其DLS中存在434名受害者信息，而實(shí)際受害者數(shù)量遠(yuǎn)超過這個(gè)數(shù)字，這部分內(nèi)容是未滿足受害者需求或新添加的受害者信息，及從受害者系統(tǒng)中竊取到的數(shù)據(jù)。攻擊者在需求被滿足或出于其他原因，會(huì)移除受害者信息和竊取到的數(shù)據(jù)。

由此可見，BlackCat團(tuán)伙的攻擊頻率在逐年持續(xù)增加，未來將是針對(duì)全球企業(yè)的最重要的勒索軟件威脅之一。

憑借著快速的升級(jí)迭代，BlackCat勒索團(tuán)伙在2023年帶來了“不俗”的表現(xiàn)。

今年5月初，汽車消費(fèi)電子巨頭 Voxx Electronics遭遇BlackCat攻擊。根據(jù)該公司的公開信息顯示，BlackCat 在單獨(dú)的 Voxx 泄漏頁(yè)面上列出了一長(zhǎng)串從公司竊取的數(shù)據(jù)類型，包括銀行和財(cái)務(wù)記錄、內(nèi)部源數(shù)據(jù)及Voxx 客戶和合作伙伴的機(jī)密文件，并發(fā)布了一個(gè)隨機(jī)數(shù)據(jù)樣本。

泄露的 Voxx 數(shù)據(jù)樣本

BlackCat要求 Voxx在72小時(shí)內(nèi)支付贖金，否則，他們不僅將公開出售這些數(shù)據(jù)，還會(huì)將這起攻擊事件告知給 Voxx 的所有客戶，并附帶機(jī)密文件的下載地址。

當(dāng)時(shí)BlackCat曾透露，他們之所以這么做，是因?yàn)樽畛?Voxx拒絕與他們合作，拒絕合作將被視為完全同意將客戶和合作伙伴的數(shù)據(jù)公開到公共領(lǐng)域，并將其用于犯罪目的。

5月下旬，BlackCat勒索軟件攻擊了美國(guó)法院，證券交易委員會(huì)（SEC）和國(guó)防部（DoD）使用的Casepoint平臺(tái)。

Casepoint是一家知名的法律技術(shù)公司，不少國(guó)家法律部門、律師事務(wù)所以及公共機(jī)構(gòu)都會(huì)使用它來瀏覽數(shù)據(jù)。用戶將文檔上傳到Casepoint的云數(shù)據(jù)庫(kù)，該庫(kù)即可對(duì)數(shù)據(jù)進(jìn)行流暢的分析。

美國(guó)國(guó)家信用合作社管理局(NCUA)、酒店運(yùn)營(yíng)商萬豪、德國(guó)工業(yè)巨頭蒂森克虜伯、學(xué)術(shù)醫(yī)療中心梅奧診所、鐵路運(yùn)營(yíng)商BNSF鐵路等都是Casepoint的客戶。

BlackCat在攻擊了Casepoint后非法訪問了2TB敏感數(shù)據(jù)，其中包括執(zhí)法部門與谷歌、Facebook母公司Meta等科技公司的互動(dòng)。

BlackCat方面堅(jiān)稱，他們獲取了警方的“Operation Blooming Onion”特別行動(dòng)數(shù)據(jù)，這是一項(xiàng)由美國(guó)幾家執(zhí)法機(jī)構(gòu)牽頭的人口販運(yùn)調(diào)查，揭示了農(nóng)業(yè)組織是將外國(guó)工人偷運(yùn)到美國(guó)的全過程。該組織通過此次攻擊行動(dòng)，獲得了極其敏感的數(shù)據(jù)，比如特工和主管的姓名，以及與該行動(dòng)有關(guān)的交易照片。

由此可見，無論是財(cái)富500強(qiáng)也好，行業(yè)巨頭企業(yè)也罷，沒有一家組織能夠幸免勒索軟件的攻擊。

BlackCat的殺手锏：三重勒索策略

在攻擊策略方面，BlackCat采用的是三重勒索策略，在“竊取數(shù)據(jù)+加密文件”雙重勒索策略上，還增加了騷擾或DDoS攻擊威脅，從而構(gòu)成多重勒索。

攻擊者首先會(huì)識(shí)別系統(tǒng)中最薄弱的環(huán)節(jié)并通過漏洞闖入，一旦成功進(jìn)入，他們就會(huì)獲取其最敏感的數(shù)據(jù)，并在系統(tǒng)中對(duì)其進(jìn)行解密，隨即繼續(xù)更改系統(tǒng) Active Directory 中的用戶帳戶。

成功入侵 Active Directory 后，BlackCat 可以配置有害的組策略對(duì)象 (GPO) 來處理勒索軟件數(shù)據(jù)。接下來是禁用系統(tǒng)內(nèi)的任何安全基礎(chǔ)設(shè)施以避免障礙。在看不到任何安全防御措施的情況下，他們會(huì)繼續(xù)使用 PowerShell 腳本感染系統(tǒng)。

繼而攻擊者會(huì)向受害者索要贖金，威脅要破壞數(shù)據(jù)解密密鑰，發(fā)起分布式拒絕服務(wù)攻擊，或者直接將泄露的數(shù)據(jù)公開。這些行為中的每一個(gè)都將受害者置于非常狹窄的角落。在大多數(shù)情況下，他們都會(huì)面臨被迫付清贖金的結(jié)局。

倘若受害者未在最后期限支付贖金，BlackCat還會(huì)進(jìn)行DDoS攻擊，這使得該組織的勒索攻擊對(duì)受害者極具壓迫性。當(dāng)然，有時(shí)候也存在“不加密只勒索”的情況，是當(dāng)前勒索軟件攻擊組織轉(zhuǎn)變勒索模式的趨勢(shì)之一。

上述情況并非 BlackCat 所特有；其他 RaaS 攻擊采用相同的過程。但 BlackCat 勒索軟件的一個(gè)不同之處在于它使用了 Rust 語言編寫，這是BlackCat的一個(gè)主要“賣點(diǎn)”。

BlackCat首次被Malwarehuntertam披露

Rust是一種更安全的跨平臺(tái)編程語言，能夠進(jìn)行并發(fā)處理。通過利用此編程語言，攻擊者能夠輕松地針對(duì)Windows和Linux等各種操作系統(tǒng)架構(gòu)對(duì)其進(jìn)行編譯，這有助于該勒索軟件快速傳播。同時(shí)由于RUST提供了眾多自主開發(fā)的選項(xiàng)，通過命令行調(diào)用的BlackCat 可實(shí)現(xiàn)更具個(gè)性化的攻擊。

BlackCat勒索軟件載荷通過Rust編程語言編寫，執(zhí)行載荷需要一個(gè)特定的Access Token參數(shù)，解密獲取寫入勒索載荷文件中的加密配置文件。配置文件為攻擊者入侵受害系統(tǒng)后，根據(jù)受害系統(tǒng)實(shí)際情況而設(shè)定的文件內(nèi)容，配置文件中包括要停止的服務(wù)和進(jìn)程列表，跳過加密的白名單目錄、文件和文件擴(kuò)展名列表等內(nèi)容。未獲得Access Token參數(shù)則無法執(zhí)行載荷文件，目的是阻礙安全研究人員和沙箱工具對(duì)載荷進(jìn)行分析。

圖片來源：安天

另外，根據(jù)官方說明，BlackCat 勒索軟件支持四種加密模式。但據(jù) SentinelLabs 研究員 Aleksandar Milenkoski 對(duì) BlackCat 勒索軟件樣本進(jìn)行逆向分析得出其加密模式實(shí)際存在 6 種，具體描述如下表。

來源：天際友盟BlackCat勒索軟件系列報(bào)告

除了編寫方式、加密模式外，BlackCat 在整個(gè)攻擊過程中使用到的工具也值得關(guān)注。其使用到的工具包括遠(yuǎn)程控制工具Cobalt Strike，用于恢復(fù)存儲(chǔ)密碼的 Mimikatz、LaZagne 和 WebBrowserPassView， 以及竊取數(shù)據(jù)的 GO Simple Tunnel (GOST)、MEGAsync 和 ExMatter。此外，在一些 BlackCat 勒索軟件活動(dòng)中，攻擊者還被觀察到利用了諸如 fileshredder 之類的反取證工具。

利用這些工具，BlackCat 通過命令行進(jìn)行操作，支持多種細(xì)節(jié)配置，允許自定義文件擴(kuò)展名、贖金說明、加密模式。 其自帶一個(gè)加密配置，包含要終止的服務(wù) / 進(jìn)程列表、避免加密的目錄 / 文件 / 文件擴(kuò)展名列表以及來自受害者環(huán)境 的被盜憑證列表以實(shí)現(xiàn)持久化。它會(huì)刪除所有卷影副本，使用 CMSTPLUA COM 接口執(zhí)行權(quán)限提升，并在受害者機(jī)器上啟用“遠(yuǎn)程到本地”和“遠(yuǎn)程到遠(yuǎn)程”鏈接，最終幫助BlackCat實(shí)現(xiàn)個(gè)性化攻擊。

在過去的兩年中，作為勒索軟件即服務(wù)(RaaS)商業(yè)模式的一部分，BlackCat勒索軟件運(yùn)營(yíng)商一直在不斷發(fā)展和更新他們的工具。

今年11月，BlackCat運(yùn)營(yíng)商宣布對(duì)他們的工具進(jìn)行更新，包括一個(gè)名為Munchkin的實(shí)用程序，它允許攻擊者將BlackCat有效負(fù)載傳播到遠(yuǎn)程設(shè)備和受害者組織網(wǎng)絡(luò)上的共享。

在最新發(fā)現(xiàn)的樣本中，Unit 42的研究人員獲得了一個(gè)獨(dú)特的Munchkin樣本，加載在自定義的Alpine虛擬機(jī)(VM)中。這種利用自定義虛擬機(jī)來部署惡意軟件的新策略在最近幾個(gè)月得到了越來越多的應(yīng)用，允許勒索軟件攻擊者使用虛擬機(jī)來繞過部署惡意軟件有效負(fù)載的安全解決方案。

Munchkin進(jìn)程示意圖

Munchkin實(shí)用程序以ISO文件的形式提供，在VirtualBox虛擬化產(chǎn)品的新安裝樣本中加載。這個(gè)ISO文件代表了Alpine操作系統(tǒng)的自定義實(shí)現(xiàn)，攻擊者可能會(huì)選擇它，因?yàn)樗加每臻g小。

在執(zhí)行命令的過程中，惡意軟件最初將虛擬機(jī)的根密碼更改為攻擊者選擇的密碼，隨后通過內(nèi)置的tmux實(shí)用程序生成一個(gè)新的終端會(huì)話，該實(shí)用程序用于執(zhí)行名為controller的惡意軟件二進(jìn)制文件。惡意軟件完成執(zhí)行后，會(huì)關(guān)閉虛擬機(jī)?？刂破鲪阂廛浖c其他相關(guān)文件一起托管在/app目錄中。此外，虛擬機(jī)操作系統(tǒng)中還包含其他相關(guān)且值得注意的文件。

虛擬機(jī)操作系統(tǒng)中包含的文件路徑及有關(guān)描述

除了上面提到的文件，大量的Python腳本直接存在于/usr/bin中，BlackCat操作符可以在VM的后續(xù)更新中使用這些腳本。攻擊者可以使用上面的許多Python腳本進(jìn)行橫向移動(dòng)、密碼轉(zhuǎn)儲(chǔ)和在受害者網(wǎng)絡(luò)上進(jìn)一步執(zhí)行惡意指令。

不得不說，BlackCat 不僅找到了繞過現(xiàn)有防御策略的有效方法，還隨著時(shí)代的變化不斷升級(jí)，確保了自己的存在“壽命”。 BlackCat的與時(shí)俱進(jìn)使得他在勒索軟件的領(lǐng)域中，“遙遙領(lǐng)先”于其他競(jìng)爭(zhēng)對(duì)手。

警惕BlackCat新變種，主動(dòng)防御是上策

諸如BlackCat這樣的勒索軟件攻擊作為一種最為常見的網(wǎng)絡(luò)安全威脅之一，發(fā)生頻率極高，無論是對(duì)于個(gè)人還是企業(yè)來說，其造成的危害、損失及影響都是不可預(yù)估的。

據(jù)資料顯示，BlackCat 人員與 DarkSide/BlackMatter 前勒索團(tuán)伙還可能存在一定淵源，這表明其幕后的行為者經(jīng)驗(yàn)極其豐富，且該勒索團(tuán)伙所采用的三重勒索策略近年來一直在隨著市場(chǎng)環(huán)境“推陳出新”。種種跡象表明，BlackCat 團(tuán)伙未來仍將成為勒索軟件市場(chǎng)的主要參與者之一。雖然 BlackCat 目前的重點(diǎn)攻擊目標(biāo)是國(guó)外用戶，但國(guó)內(nèi)用戶也應(yīng)加強(qiáng)防范，規(guī)避此類風(fēng)險(xiǎn)。

• 首先，做好資產(chǎn)梳理與分級(jí)分類管理、建立完整的資產(chǎn)清單，識(shí)別內(nèi)部系統(tǒng)與外部第三方系統(tǒng)間的連接關(guān)系十分關(guān)鍵，尤其是域合作伙伴共享控制的區(qū)域，可降低勒索軟件從第三方系統(tǒng)進(jìn)入的風(fēng)險(xiǎn)。
• 其次，嚴(yán)格訪問控制策略、創(chuàng)建防火墻規(guī)則，僅允許特定的 IP 地址訪問；限制可使用 RDP 的用戶為特權(quán)用戶；設(shè)置訪問鎖定策略，調(diào)整賬戶鎖定閾值與鎖定持續(xù)時(shí)間等配置；為管理員級(jí)別和更高級(jí)別設(shè)置的賬戶實(shí)施基于時(shí)間的訪問。
• 同時(shí)，做好身份驗(yàn)證管理。設(shè)置復(fù)雜密碼，并保持定期更換登錄口令習(xí)慣；多臺(tái)機(jī)器，切勿使用相同的賬號(hào)和口令；啟用多因素身份驗(yàn)證 (MFA) ；并做到及時(shí)更新系統(tǒng)補(bǔ)丁，定期檢查、修補(bǔ)系統(tǒng)漏洞，尤其針對(duì)高?；?0day 漏洞。
• 最后，備份重要數(shù)據(jù)和系統(tǒng)也十分關(guān)鍵。可在物理上獨(dú)立安全的位置，比如硬盤驅(qū)動(dòng)器、存儲(chǔ)設(shè)備、云端等保留敏感或?qū)Ｓ袛?shù)據(jù)的多個(gè)副本，以最大程度的減輕風(fēng)險(xiǎn)。