复杂危险的勒索软件 BlackCat 或将开启新的攻击模式

虽然勒索软件组织针对其攻击的能见度增加而重塑行动是很典型的，但 BlackCat（又名 Alphv）标志着一个新的领域，即该网络犯罪组织是由其他勒索软件即服务（RaaS）行动的附属机构建立的

BlackCat 于 2021 年 11 月首次出现，此后在过去几个月里针对世界各地的几个组织，它被称为与 BlackMatter 相似，BlackMatter 勒索软件，源于 DarkSide，它在 2021 年 5 月对 Colonial Pipeline 的高调攻击引起了人们的注意。

在上个月接受 Recorded Future 的 The Record 采访时，BlackCat 的一位代表否认了关于它是 BlackMatter 的重塑的猜测，同时指出它是由其他 RaaS 集团有关的附属机构组成的。



"在某种程度上，我们都与 gandrevil [GandCrab / REvil]、blackside [BlackMatter / DarkSide]、mazegreggor [Maze / Egregor]、lockbit 等有联系。" 我们借用了他们的优势，消除了他们的劣势。"

"BlackCat 似乎是一个垂直业务扩张的案例"Cisco Talos 研究人员 Tiago Pereira 和 Caitlin Huey 说：“从本质上讲，这是一种控制上游供应链的方式，使对他们的业务至关重要的服务（RaaS 运营商）更适合他们的需求，并增加另一个收入来源 "。 

更重要的是，网络安全公司说，目前观察到 2021 年 9 月的 BlackMatter 攻击和 2021 年 12 月的 BlackCat 攻击之间有一些共同点，包括使用的工具和文件名，以及为保持对目标网络的持续访问而采用的一个域名。

这种重叠使用相同的命令和控制地址的情况引起了一种可能性，即使用 BlackMatter 的分支机构可能是 BlackCat 的早期采用者之一，这两种攻击都需要 15 天以上的时间才能达到加密阶段。



        "正如我们以前多次看到的那样，RaaS 服务来了又走。然而，他们的附属机构可能会简单地转移到一个新的服务。研究人员说：" 随着他们的到来，许多 TTPs 可能会持续存在。

        这些发现是在黑莓公司详细介绍了一个新的基于.NET 的勒索软件家族，名为 LokiLocker，不仅是加密文件，而且还包括一个可选的擦除功能，旨在清除所有非系统文件，并在受害者拒绝在指定时间内付款的情况下覆盖主引导记录（MBR）。

        "研究人员说："LokiLocker 作为一个有限访问的勒索软件即服务计划，似乎被卖给了相对较少的经过仔细审查的分支机构，闭门造车。至少从 2021 年 8 月开始活跃，到目前为止检测到的大多数受害者都集中在东欧和亚洲。