在最近發(fā)生的一系列中斷主要業(yè)務的事件中，KADOKAWA 公司經(jīng)歷了延伸到多個網(wǎng)站的服務中斷。最初看似技術(shù)故障的事件很快升級為由臭名昭著的 BlackSuit 勒索軟件組織策劃的全面勒索軟件攻擊。五周前，BlackSuit 聲稱對此次攻擊負責，并發(fā)出最后通牒：要么滿足他們的贖金要求，要么在 7 月 1 日公開發(fā)布被盜信息。

Deep Instinct 威脅實驗室的深入分析顯示，BlackSuit 的戰(zhàn)術(shù)和技術(shù)發(fā)生了巨大演變。該勒索軟件現(xiàn)在采用的是先進的混淆方法，包括將其有效載荷偽裝成奇虎 360 殺毒軟件的合法組件。與早期版本相比，最新的 BlackSuit 樣本的檢測率要低得多，這表明威脅行為者在刻意規(guī)避安全措施。

VirusTotal 檢測率

最新的樣本包含編碼字符串和導入 DLL ，旨在阻止分析工作。強制性 ID 參數(shù)繞過了自動仿真，提高了規(guī)避能力。最有影響的變化之一是將勒索軟件偽裝成知名免費殺毒軟件奇虎 360 的合法組成部分，這包括虛假水印，大大降低了檢測率。偽裝文件雖然沒有簽名，但與奇虎真正的 QHAccount.exe 文件非常相似，從而有效地規(guī)避了安全軟件。

BlackSuit 還集成了一些高級功能，如用于加密的非對稱密鑰交換、刪除影子副本以禁止輕松恢復，以及禁用安全模式和關(guān)閉系統(tǒng)的功能。加密后的文件會添加 .blacksuit 擴展名，并附帶贖金說明（通常名為 readme.blacksuit.txt）。

BlackSuit 勒索軟件采用了多種初始攻擊載體，包括使用竊取憑證的 RDP、VPN 和防火墻漏洞、帶宏的 Office 電子郵件附件、torrent 網(wǎng)站、惡意廣告和第三方木馬。攻擊者還利用 CobaltStrike、WinRAR、PUTTY、Rclone、Advanced IP Scanner、Mimikatz 和 GMER 等工具。這種多樣化的載體使 BlackSuit 的目標更為廣泛，危及大量數(shù)據(jù)。

BlackSuit 泄密網(wǎng)站上的受害者資料示例

另外，BlackSuit 在暗網(wǎng)上運營著一個新聞和泄密網(wǎng)站，一旦過了贖金的截止日期，他們就會在網(wǎng)站上公布受害者的外泄數(shù)據(jù)。這些資料包括受影響組織的關(guān)鍵信息，如行業(yè)、員工人數(shù)、收入和聯(lián)系方式等。

參考來源：https://securityonline.info/blacksuits-advanced-ransomware-tactics-exposed-masquerades-as-antivirus/