BlackMatter和REvil团伙的继任者：BlackCat通过高效且可定制的勒索软件对企业环境实施攻击

BlackCat勒索软件团伙是一个至少从2021年12月就开始运营的威胁行为者。与很多勒索软件行为者不同，BlackCat的恶意软件是采用Rust编程语言编写的。由于Rust先进的交叉编译功能，BlackCat可以同时针对 Windows 和 Linux 系统进行攻击。换句话说，BlackCat 引入了渐进式进步和技术转变，用于应对勒索软件开发的挑战。

这个行为者声称是BlackMatter和REvil等臭名昭着的勒索软件团伙的继任者。我们的遥测数据表明，新的BlackCat组织的至少一些成员与BlackMatter有直接联系，因为他们使用的工具和技术以前曾被BlackMatter广泛使用。

在最新报告“坏运气的BlackCat”中，卡巴斯基研究人员揭示了两起特别感兴趣的网络事件。其中一个事件展示了共享云主机资源带来的风险，另一个事件则展示了一种灵活的做法，在BlackMatter和BlackCat攻击互动中定制和重复利用恶意软件。

第一个案例是针对中东地区一家托管多个网站的ERP（企业资源计划）供应商的攻击。攻击者同时将两个不同的可执行文件传送到同一物理服务器，目标是攻击虚拟托管在那里的两个不同的组织。尽管该团伙误以为被感染的服务器是两个不同的物理系统，但攻击者还是留下了痕迹，这对于确定 BlackCat 的操作方式很重要。卡巴斯基研究人员确定，攻击者利用了跨云资源共享资产的风险。此外，在这个案例中，除了可执行文件之外，该威胁组织还传送了一个Mimikatz批处理文件和Nirsoft网络密码恢复工具。类似的事件发生在2019年，当时BlackMatter活动的前身REvil似乎渗透了支持美国大量牙科诊所的云服务。BlackCat 很可能也采用了其中一些较旧的策略。

第二个案例涉及南美的一家石油、天然气、采矿和建筑公司，该案例揭示了BlackCat和BlackMatter勒索软件活动之间的联系。这次勒索软件攻击背后的关联公司（似乎与之前提到的案件中的关联公司不同）不仅试图在目标网络内交付BlackCat勒索软件，而且还在交付勒索软件之前安装了一个经过修改的自定义渗出工具，我们称之为 “Fendr”。该实用程序也称为ExMatter，之前只在BlackMatter的勒索软件攻击行动中被使用过。

“在REvil和BlackMatter组织终止其操作之后，另一个勒索软件组织接管其利基市场只是时间问题。恶意软件开发的知识、用一种不寻常的编程语言从头写起的新样本以及维护基础设施的经验正在使BlackCat组织成为勒索软件市场的主要参与者。通过分析这些主要的网络事件，我们突出强调了BlackCat在入侵受害者网络时使用的主要功能、工具和技术。这些知识有助于我们保护用户的安全，并保护用户免受已知和未知威胁的侵害。我们敦促网络安全界联合起来，共同打击新的网络犯罪组织，以实现更安全的未来，”卡巴斯基全球研究与分析团队安全研究员Dmitry Galov评论说。

更多有关BlackCat勒索软件的详情，请访问Securelist.com

为了帮助企业远离勒索软件的侵害，专家建议企业和组织尽量采取以下反勒索软件措施：

·         在您的组织使用的所有设备上保持软件更新，避免勒索软件利用漏洞进行攻击。

·         通过利用专门的培训课程，如卡巴斯基自动安全意识平台中提供的课程，教育员工如何保护企业环境。这里有一个关于如何抵御勒索软件攻击的免费课程。

·         将您的防御策略集中在检测横向移动和数据向互联网的外泄上。特别注意传出流量，以检测网络犯罪分子的连接。

·         定期进行数据备份，确保您可疑在紧急情况下快速获取这些备份。

·         使用最新的威胁情报了解威胁行为者当前使用的TTP（策略、技术和流程）。

·         使用诸如卡巴斯基端点检测与响应以及卡巴斯基托管检测与响应等解决方案，因为这些解决方案能够在攻击者实现其最终目标之前的早期阶段识别和拦截攻击。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.