BM Security X-Force的研究人員在周二發表的BlackCat(又稱ALPHV)組織及其不斷演變的惡意軟體分析中表示「自2021年11月首次亮相以來,BlackCat因其極為強大且創新的勒索軟體行動而聞名。其被多個研究機構列為活躍程度前十名的勒索軟體組織,並在2022年4月的FBI警示中與已解散的BlackMatter/DarkSide勒索軟體有關聯。」
卑劣記錄
在2月遭受攻擊後,Lehigh Valley Health Network拒絕支付150萬美元贖金,BlackCat公開了裸露乳房的乳癌患者照片。此後,BlackCat的受害者包括Western Digital、Sun Pharmaceuticals和Constellation Software等公司。
SC Media在五月份報導了Trend Micro的發現,BlackCat正在部署一個新的核心驅動程序,利用一個獨立的用戶端執行檔來控制、暫停和終止安裝在受保護電腦上的防護程式的各種行程(process)。
更新技術
該組織在2月向其附屬機構推廣了這個名為Sphynx的版本。VX-Underground在Twitter上張貼了一些公告的截圖,其中BlackCat表示其勒索軟體「已從頭開始完全重寫」,這次更新的「主要優化目標是防病毒/端點檢測和應變的檢測」。
BlackCat在2022年轉向使用Rust程式語言,可能是因為它提供了更多自定義惡意軟體和阻礙檢測和分析的機會,該組織的附屬機構繼續濫用群組原則(Group Policy Objects,GPO)的功能,既用於部署工具,也用於干擾安全措施。
極速怒飆
X-Force觀察到攻擊者正在利用ExMatter,這是一個.NET資料竊取工具,於2021年推出,並在2022年8月獲得了重大更新。ExMatter僅由一個BlackCat勒索軟體附屬叢集(Microsoft追蹤代號為DEV-0504)使用。
BlackCat勒索軟體相關的技術不斷進步,以及BlackCat和ExMatter惡意軟體的設計,突顯了攻擊者對目標系統和防禦者流程的理解,以及可以利用這些進行攻擊者優勢的潛在點。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:Simon Hendery (2023). BlackCat ransomware gang updates tradecraft with stealth and speed. SC Media.
檢自:https://www.scmagazine.com/news/ransomware/blackcat-ransomware-stealth-speed (June. 10, 2023)
