自2017年WannaCry席卷全球以来,勒索软件攻击不断升级、演变。如今的攻击规模、影响及破坏效果都在显著扩大,不容小觑。
根据《2022年年中网络威胁报告》显示,仅2022年1-6月全球就记录了2.361亿次勒索软件攻击。同时,其他报告中也曾提到:80%的网络安全领导者认为勒索软件是对公共安全的重大威胁,并预测勒索软件损害将从2015年的3.25亿美元增长至2031年的2650亿美元。
随着勒索软件的情况愈演愈烈,全球制造、金融、能源、医疗、政府组织等关键领域几乎无一幸免。在某些勒索事件中,勒索组织向受害者索取的高额赎金甚至可能影响国家的正常运作能力。
在众多勒索软件中,BlackCat凭借其独特的适应性和先进的技术特性在近年来的勒索事件中“脱颖而出”。
BlackCat勒索软件(又名AlphaVM、AlphaV或ALPHV)于2021年11月中旬首次被Malwarehuntertam研究人员披露,是第一个基于RUST语言编写的专业勒索软件家族系列,并因其高度定制化和个性化的攻击而迅速赢得市场。
该软件不仅能够在各种企业环境进行攻击,还在短期内成功执行了多次引人注目的攻击,受害者包括汽车消费电子巨头 Voxx Electronics、美国法院、知名手表品牌Seiko等等。
BlackCat泄密网站
BlackCat屡下“黑手”,行业巨头也难幸免
自2021年11月30日起,BlackCat勒索软件背后的攻击组织开始在Tor网站专用数据泄露站点(DLS)陆续发布受害者信息和窃取到的数据。
截至2023年7月3日,其DLS中存在434名受害者信息,而实际受害者数量远超过这个数字,这部分内容是未满足受害者需求或新添加的受害者信息,及从受害者系统中窃取到的数据。攻击者在需求被满足或出于其他原因,会移除受害者信息和窃取到的数据。
由此可见,BlackCat团伙的攻击频率在逐年持续增加,未来将是针对全球企业的最重要的勒索软件威胁之一。
凭借着快速的升级迭代,BlackCat勒索团伙在2023年带来了“不俗”的表现。
今年5月初,汽车消费电子巨头 Voxx Electronics遭遇BlackCat攻击。根据该公司的公开信息显示,BlackCat 在单独的 Voxx 泄漏页面上列出了一长串从公司窃取的数据类型,包括银行和财务记录、内部源数据及Voxx 客户和合作伙伴的机密文件,并发布了一个随机数据样本。
泄露的Voxx 数据样本
BlackCat要求 Voxx在72小时内支付赎金,否则,他们不仅将公开出售这些数据,还会将这起攻击事件告知给 Voxx的所有客户,并附带机密文件的下载地址。
当时BlackCat曾透露,他们之所以这么做,是因为最初 Voxx拒绝与他们合作,拒绝合作将被视为完全同意将客户和合作伙伴的数据公开到公共领域,并将其用于犯罪目的。
5月下旬,BlackCat勒索软件攻击了美国法院,证券交易委员会(SEC)和国防部(DoD)使用的Casepoint平台。
Casepoint是一家知名的法律技术公司,不少国家法律部门、律师事务所以及公共机构都会使用它来浏览数据。用户将文档上传到Casepoint的云数据库,该库即可对数据进行流畅的分析。
美国国家信用合作社管理局(NCUA)、酒店运营商万豪、德国工业巨头蒂森克虏伯、学术医疗中心梅奥诊所、铁路运营商BNSF铁路等都是Casepoint的客户。
BlackCat在攻击了Casepoint后非法访问了2TB敏感数据,其中包括执法部门与谷歌和Facebook母公司Meta等科技公司互动的方式等。
BlackCat方面坚称,他们获取了警方的“Operation Blooming Onion”特别行动数据,这是一项由美国几家执法机构牵头的人口贩运调查,揭示了农业组织是将外国工人偷运到美国的全过程。该组织通过此次攻击行动,获得了极其敏感的数据,比如特工和主管的姓名,以及与该行动有关的交易照片。
由此可见,无论是财富500强也好,行业巨头企业也罢,没有一家组织能够幸免勒索软件的攻击。
BlackCat的杀手锏:双重勒索策略
在攻击策略方面,BlackCat采用的是三重勒索策略,在“窃取数据+加密文件”双重勒索策略上,还增加了骚扰或DDoS攻击威胁,从而构成多重勒索。
攻击者首先会识别系统中最薄弱的环节并通过漏洞闯入,一旦成功进入,他们就会获取其最敏感的数据,并在系统中对其进行解密,随即继续更改系统 Active Directory 中的用户帐户。
成功入侵 Active Directory 后,BlackCat 可以配置有害的组策略对象 (GPO) 来处理勒索软件数据。接下来是禁用系统内的任何安全基础设施以避免障碍。在看不到任何安全防御措施的情况下,他们会继续使用 PowerShell 脚本感染系统。
继而攻击者会向受害者索要赎金,威胁要破坏数据解密密钥,发起分布式拒绝服务攻击,或者直接将泄露的数据公开。这些行为中的每一个都将受害者置于非常狭窄的角落。在大多数情况下,他们都会面临被迫付清赎金的结局。
倘若受害者未在最后期限支付赎金,BlackCat还会进行DDoS攻击,这使得该组织的勒索攻击对受害者极具压迫性。当然,有时候也存在“不加密只勒索”的情况,是当前勒索软件攻击组织转变勒索模式的趋势之一。
上述情况并非 BlackCat 所特有;其他 RaaS 攻击采用相同的过程。但 BlackCat 勒索软件的一个不同之处在于它使用了 Rust 语言编写,这是BlackCat的一个主要“卖点”。
BlackCat首次被Malwarehuntertam披露
Rust是一种更安全的跨平台编程语言,能够进行并发处理。通过利用此编程语言,攻击者能够轻松地针对Windows和Linux等各种操作系统架构对其进行编译,这有助于该勒索软件快速传播。同时由于RUST提供了众多自主开发的选项,通过命令行调用的BlackCat 可实现更具个性化的攻击。
BlackCat勒索软件载荷通过Rust编程语言编写,执行载荷需要一个特定的Access Token参数,解密获取写入勒索载荷文件中的加密配置文件。配置文件为攻击者入侵受害系统后,根据受害系统实际情况而设定的文件内容,配置文件中包括要停止的服务和进程列表,跳过加密的白名单目录、文件和文件扩展名列表等内容。未获得Access Token参数则无法执行载荷文件,目的是阻碍安全研究人员和沙箱工具对载荷进行分析。
图片来源:安天
另外,根据官方说明,BlackCat 勒索软件支持四种加密模式。但据 SentinelLabs 研究员 Aleksandar Milenkoski 对 BlackCat 勒索软件样本进行逆向分析得出其加密模式实际存在 6 种,具体描述如下表。
来源:天际友盟BlackCat勒索软件系列报告
除了编写方式、加密模式外,BlackCat 在整个攻击过程中使用到的工具也值得关注。其使用到的工具包括远程控制工具Cobalt Strike,用于恢复存储密码的 Mimikatz、LaZagne 和 WebBrowserPassView, 以及窃取数据的 GO Simple Tunnel (GOST)、MEGAsync 和 ExMatter。此外,在一些 BlackCat 勒索软件活动中,攻击者还被观察到利用了诸如 fileshredder 之类的反取证工具。
利用这些工具,BlackCat 通过命令行进行操作,支持多种细节配置,允许自定义文件扩展名、赎金说明、加密模式。 其自带一个加密配置,包含要终止的服务 / 进程列表、避免加密的目录 / 文件 / 文件扩展名列表以及来自受害者环境 的被盗凭证列表以实现持久化。它会删除所有卷影副本,使用 CMSTPLUA COM 接口执行权限提升,并在受害者机器上启用“远程到本地”和“远程到远程”链接,最终帮助BlackCat实现个性化攻击。
在过去的两年中,作为勒索软件即服务(RaaS)商业模式的一部分,BlackCat勒索软件运营商一直在不断发展和更新他们的工具。
今年11月,BlackCat运营商宣布对他们的工具进行更新,包括一个名为Munchkin的实用程序,它允许攻击者将BlackCat有效负载传播到远程设备和受害者组织网络上的共享。
在最新发现的样本中,Unit 42的研究人员获得了一个独特的Munchkin样本,加载在自定义的Alpine虚拟机(VM)中。这种利用自定义虚拟机来部署恶意软件的新策略在最近几个月得到了越来越多的应用,允许勒索软件攻击者使用虚拟机来绕过部署恶意软件有效负载的安全解决方案。
Munchkin进程示意图
Munchkin实用程序以ISO文件的形式提供,在VirtualBox虚拟化产品的新安装样本中加载。这个ISO文件代表了Alpine操作系统的自定义实现,攻击者可能会选择它,因为它占用空间小。
在执行命令的过程中,恶意软件最初将虚拟机的根密码更改为攻击者选择的密码,随后通过内置的tmux实用程序生成一个新的终端会话,该实用程序用于执行名为controller的恶意软件二进制文件。恶意软件完成执行后,会关闭虚拟机。控制器恶意软件与其他相关文件一起托管在/app目录中。此外,虚拟机操作系统中还包含其他相关且值得注意的文件。
虚拟机操作系统中包含的文件路径及有关描述
除了上面提到的文件,大量的Python脚本直接存在于/usr/bin中,BlackCat操作符可以在VM的后续更新中使用这些脚本。攻击者可以使用上面的许多Python脚本进行横向移动、密码转储和在受害者网络上进一步执行恶意指令。
不得不说,BlackCat 不仅找到了绕过现有防御策略的有效方法,还随着时代的变化不断升级,确保了自己的存在“寿命”。 BlackCat的与时俱进使得他在勒索软件的领域中,“遥遥领先”于其他竞争对手。
警惕BlackCat新变种,主动防御是上策
诸如BlackCat这样的勒索软件攻击作为一种最为常见的网络安全威胁之一,发生频率极高,无论是对于个人还是企业来说,其造成的危害、损失及影响都是不可预估的。
据资料显示,BlackCat 人员与 DarkSide/BlackMatter 前勒索团伙还可能存在一定渊源,这表明其幕后的行为者经验极其丰富,且该勒索团伙所采用的三重勒索策略近年来一直在随着市场环境“推陈出新”。种种迹象表明,BlackCat 团伙未来仍将成为勒索软件市场的主要参与者之一。虽然 BlackCat 目前的重点攻击目标是国外用户,但国内用户也应加强防范,规避此类风险。
首先,做好资产梳理与分级分类管理、建立完整的资产清单,识别内部系统与外部第三方系统间的连接关系十分关键,尤其是域合作伙伴共享控制的区域,可降低勒索软件从第三方系统进入的风险。
其次,严格访问控制策略、创建防火墙规则,仅允许特定的 IP 地址访问;限制可使用 RDP 的用户为特权用户;设置访问锁定策略,调整账户锁定阈值与锁定持续时间等配置;为管理员级别和更高级别设置的账户实施基于时间的访问。
同时,做好身份验证管理。设置复杂密码,并保持定期更换登录口令习惯;多台机器,切勿使用相同的账号和口令;启用多因素身份验证 (MFA) ;并做到及时更新系统补丁,定期检查、修补系统漏洞,尤其针对高危或 0day 漏洞。
最后,备份重要数据和系统也十分关键。可在物理上独立安全的位置,比如硬盘驱动器、存储设备、云端等保留敏感或专有数据的多个副本,以最大程度的减轻风险。