什么是 Blackcat 勒索软件以及如何防御它？

已发表: 2022-12-27

网络攻击是一种蓄意和恶意的尝试，旨在通过现有漏洞获得对计算机系统或网络的未授权访问。这样做可以窃取敏感信息并破坏正常操作。

近年来，勒索软件已成为网络犯罪分子的首选网络攻击工具。勒索软件通常通过网络钓鱼电子邮件、路过式下载、盗版软件和远程桌面协议等传播。

一旦计算机感染了勒索软件，勒索软件就会对计算机中的重要文件进行加密。然后黑客要求赎金以恢复加密数据。

网络攻击可能危及一个国家的国家安全，削弱经济关键部门的运营，并造成巨大的破坏和严重的经济损失。这正是 WannaCry 勒索软件网络攻击所发生的情况。

2017 年 5 月 12 日，据信起源于朝鲜的名为 WannaCry 的勒索软件传播到世界各地，并在不到两天的时间内感染了 150 多个国家/地区的 200,000 多个计算机系统。 WannaCry 以运行 Windows 操作系统的计算机系统为目标。它利用了操作系统服务器消息块协议中的一个漏洞。

此次袭击的最大受害者之一是英国国民健康服务体系 (NHS)。他们的 70,000 多台设备，包括计算机、影院、诊断设备和 MRI 扫描仪，都受到了感染。医生无法访问他们的系统或需要照顾病人的病人记录。这次袭击使 NHS 损失了近 1 亿美元。

那就是一个可以变得多糟糕。然而，情况可能会变得更糟，尤其是对于新的和更危险的勒索软件，如 BlackCat，它留下了一条充满受害者的道路。

黑猫勒索软件

BlackCat 勒索软件，被其开发人员称为 ALPHV，是一种恶意软件，在感染系统后，会泄露和加密受影响系统中的数据。渗透涉及复制和传输存储在系统中的数据。一旦 BlackCat 泄露并加密了关键数据，就会提出以加密货币支付赎金的要求。 BlackCat 受害者需要支付赎金才能重新获得对其数据的访问权限。

BlackCat 不是普通的勒索软件。与通常使用 C、C++、C#、Java 或 Python 编写的其他勒索软件不同，BlackCat 是第一个使用 Rust 编写的成功勒索软件。此外，BlackCat 还是第一个在透明网络上拥有网站的勒索软件家族，他们会在该网站上泄露从攻击中窃取的信息。

与其他勒索软件的另一个主要区别是 BlackCat 作为勒索软件即服务 (RaaS) 运行。 Raas 是一种网络犯罪商业模式，勒索软件创建者将其勒索软件作为服务出租或出售给其他个人或团体。

在此模型中，勒索软件创建者为其他人提供所有必要的工具和基础设施来分发和执行勒索软件攻击。这是为了换取他们从勒索软件支付中获得的一部分利润。

这解释了为什么 BlackCat 主要针对组织和企业，因为与个人相比，他们通常更愿意支付赎金。与个人相比，组织和企业支付的赎金也更高。网络攻击中的人为引导和决策被称为网络威胁参与者 (CTA)。

为了迫使受害者支付赎金，BlackCat 使用了“三重勒索技术”。这涉及复制和传输受害者的数据，并在他们的系统上加密数据。然后要求受害者支付赎金以访问他们的加密数据。如果不这样做会导致他们的数据泄露给公众和/或在他们的系统上发起拒绝服务 (DOS) 攻击。

最后，联系那些将受到数据泄露影响的人，并告知他们的数据将被泄露。这些通常是客户、员工和其他公司附属机构。这样做是为了迫使受害组织支付赎金，以避免因数据泄露而导致的声誉损失和诉讼。

BlackCat 勒索软件的工作原理

根据 FBI 发布的快速警报，BlackCat 勒索软件使用之前泄露的用户凭据来获取对系统的访问权限。

一旦成功进入系统，BlackCat 就会使用它拥有的访问权限来破坏存储在活动目录中的用户和管理员帐户。这允许它使用 Windows 任务计划程序来配置恶意组策略对象 (GPO)，从而允许 BlackCat 部署其勒索软件来加密系统中的文件。

在 BlackCat 攻击期间，PowerShell 脚本与 Cobalt Strike 一起使用，以禁用受害者网络中的安全功能。 BlackCat 然后从存储数据的地方窃取受害者的数据，包括从云提供商那里。完成此操作后，指导攻击的网络威胁参与者会部署 BlackCat 勒索软件来加密受害者系统中的数据。

然后，受害者会收到一张赎金票据，通知他们他们的系统遭受了攻击并且重要文件被加密。赎金还提供了如何支付赎金的说明。

为什么 BlackCat 比一般的勒索软件更危险？

与普通勒索软件相比，BlackCat 是危险的，原因有很多：

它是用 Rust 编写的

Rust 是一种快速、安全的编程语言，并提供改进的性能和高效的内存管理。通过使用 Rust，BlackCat 获得了所有这些好处，使其成为具有快速加密功能的非常复杂和高效的勒索软件。这也使得 BlackCat 难以进行逆向工程。 Rust 是一种跨平台语言，它允许威胁参与者轻松定制 BlackCat 以针对不同的操作系统，例如 Windows 和 Linux，从而增加他们的潜在受害者范围。

它使用 RaaS 商业模式

BlackCat 使用勒索软件即服务模型，允许许多威胁参与者部署复杂的勒索软件，而无需知道如何创建。 BlackCat 为威胁行为者完成了所有繁重的工作，他们只需要将它部署在易受攻击的系统中。这使得有兴趣利用易受攻击系统的威胁行为者可以轻松进行复杂的勒索软件攻击。

它为附属公司提供巨额支出

BlackCat 采用 Raas 模型，创建者通过从支付给部署它的威胁行为者的赎金中抽成来赚钱。与其他 Raas 家族收取高达 30% 的威胁行为者赎金支付不同，BlackCat 允许威胁行为者保留他们支付的赎金的 80% 至 90%。这增加了 BlackCat 对威胁行为者的吸引力，使 BlackCat 能够吸引更多愿意将其部署在网络攻击中的分支机构。

它在清晰的网络上有一个公共泄密站点

与其他在暗网上泄露被盗信息的勒索软件不同，BlackCat 将被盗信息泄露到可在明网上访问的网站上。通过明文泄露被盗数据，更多人可以访问数据，增加网络攻击的影响，并给受害者支付赎金的压力。

Rust 编程语言使 BlackCat 的攻击非常有效。通过使用 Raas 模型并提供巨额回报，BlackCat 吸引了更多更有可能在攻击中部署它的威胁参与者。

BlackCat 勒索软件感染链

BlackCat 使用受损凭据或利用 Microsoft Exchange Server 漏洞获得对系统的初始访问权限。在获得系统访问权限后，恶意行为者会取消系统的安全防御并收集有关受害者网络的信息并提升他们的特权。

BlackCat 勒索软件随后在网络中横向移动，获得对尽可能多的系统的访问权限。这在赎金需求期间派上用场。受到攻击的系统越多，受害者支付赎金的可能性就越大。

然后，恶意行为者会泄露系统数据以用于敲诈勒索。一旦关键数据被泄露，就为要交付的 BlackCat 有效载荷做好了准备。

恶意行为者使用 Rust 交付 BlackCat。 BlackCat 首先停止备份、防病毒应用程序、Windows Internet 服务和虚拟机等服务。完成此操作后，BlackCat 会加密系统中的文件并破坏系统的背景图像，将其替换为勒索字条。

抵御 BlackCat 勒索软件

尽管事实证明 BlackCat 比之前见过的其他勒索软件更危险，但组织可以通过多种方式保护自己免受勒索软件的侵害：

加密关键数据

Blackhat 的部分勒索策略涉及威胁泄露受害者的数据。通过加密关键数据，组织为其数据增加了一层额外的保护，从而削弱了 BlackHat 威胁参与者使用的勒索技术。即使它被泄露，它也不会是人类可读的格式。

定期更新系统

微软进行的研究表明，在某些情况下，BlackCat 利用未打补丁的交换服务器来访问组织的系统。软件公司会定期发布软件更新，以解决可能在其系统中发现的漏洞和安全问题。为了安全起见，请尽快安装软件补丁。

在安全位置备份数据

组织应优先考虑定期备份数据并将数据存储在单独且安全的离线位置。这是为了确保即使在关键数据被加密的情况下，它仍然可以从现有备份中恢复。

实施多重身份验证

除了在系统中使用强密码外，还要实施多因素身份验证，这需要多个凭据才能授予对系统的访问权限。这可以通过配置系统生成一次性密码发送到链接的电话号码或电子邮件来完成，这是访问系统所必需的。

监视网络上的活动和系统中的文件

组织应不断监控其网络上的活动，以尽快检测和响应其网络中的可疑活动。网络上的活动也应由安全专家记录和审查，以确定潜在威胁。最后，应该建立系统来跟踪系统中文件的访问方式、访问者以及使用方式。

通过加密关键数据、确保系统处于最新状态、定期备份数据、实施多因素身份验证以及监控系统中的活动。组织可以领先一步并防止 BlackCat 的攻击。

学习资源：勒索软件

要了解有关网络攻击的更多信息以及如何保护自己免受 BlackCat 等勒索软件的攻击，我们建议您参加这些课程之一或阅读以下建议的书籍：

#1。安全意识培训

对于所有对互联网安全感兴趣的人来说，这是一门很棒的课程。该课程由认证信息系统安全专家 (CISSP) Michael Biocchi 博士提供。

该课程涵盖网络钓鱼、社会工程、数据泄露、密码、安全浏览和个人设备，并提供有关如何安全上网的一般提示。该课程会定期更新，每个使用互联网的人都将从中受益。

#2。安全意识培训，员工网络安全

本课程专为日常互联网用户量身定制，旨在教育他们了解人们通常不知道的安全威胁以及如何保护自己免受威胁。

由 CISSP 认证的信息安全专家 Roy Davis 提供的课程涵盖用户和设备责任、网络钓鱼和其他恶意电子邮件、社会工程、数据处理、密码和安全问题、安全浏览、移动设备和勒索软件。完成课程后您将获得结业证书，这足以符合大多数工作场所的数据监管政策。

#3。网络安全：初学者意识培训

这是 Udemy 课程，由培训和认证初创公司 Logix Academy 的 Usman Ashraf 提供。 Usman 获得了 CISSP 认证并拥有博士学位。在计算机网络领域拥有丰富的行业和教学经验。

本课程让学习者深入了解社会工程、密码、安全数据处理、虚拟专用网络 (VPN)、恶意软件、勒索软件和安全浏览技巧，并解释如何使用 cookie 跟踪人员。该课程是非技术性的。

#4。勒索软件揭晓

这是由独立信息安全顾问、网络安全和数字取证专家 Nihad A. Hassan 撰写的一本书。该书教授如何减轻和处理勒索软件攻击，并让读者深入了解现有的不同类型的勒索软件、它们的分发策略和恢复方法。

预习	产品	评分	价格
	揭露勒索软件：保护和从勒索软件攻击中恢复的初学者指南		23.74 美元	在亚马逊上购买

本书还介绍了在感染勒索软件时应遵循的步骤。这包括如何支付赎金、如何执行备份和恢复受影响的文件，以及如何在线搜索解密工具来解密受感染的文件。它还涵盖组织如何制定勒索软件事件响应计划，以最大程度地减少勒索软件损害并快速恢复正常运营。

#5。勒索软件：了解。防止。恢复

在本书中，Recorded Future 的高级安全架构师兼勒索软件专家 Allan Liska 回答了与勒索软件相关的所有难题。

预习	产品	评分	价格
	勒索软件：了解。防止。恢复。		17.99 美元	在亚马逊上购买

该书提供了勒索软件近年来流行的历史背景、如何阻止勒索软件攻击、恶意行为者使用勒索软件瞄准的漏洞，以及在勒索软件攻击中以最小的损失幸存下来的指南。此外，这本书回答了最重要的问题，你应该支付赎金吗？本书对勒索软件进行了令人兴奋的探索。

#6。勒索软件保护手册

对于任何想要武装自己抵御勒索软件的个人或组织来说，这本书都是必读的。在本书中，计算机安全和渗透方面的专家 Roger A. Grimes 提供了他在该领域的丰富经验和知识，以帮助人们和组织保护自己免受勒索软件的侵害。

预习	产品	评分	价格
	勒索软件保护手册		17.00 美元	在亚马逊上购买

该书为寻求制定针对勒索软件的强大防御措施的组织提供了一个可操作的蓝图。它还教导如何检测攻击、快速限制损害以及确定是否支付赎金。它还提供了一个游戏计划，以帮助组织限制严重安全漏洞造成的声誉和财务损失。

最后，它教导如何为网络安全保险和法律保护提供安全基础，以减轻对业务和日常生活的破坏。

作者的话

BlackCat 是一种革命性的勒索软件，势必会改变网络安全的现状。截至 2022 年 3 月，BlackCat 已成功攻击 60 多个组织，并成功引起了 FBI 的注意。 BlackCat 是一个严重的威胁，任何组织都不能忽视它。

通过采用现代编程语言和非常规的攻击、加密和勒索方法，BlackCat 让安全专家迎头赶上。然而，针对这种勒索软件的战争并没有输。

通过实施本文中强调的策略并最大限度地减少人为错误暴露计算机系统的机会，组织可以保持领先地位并防止 BlackCat 勒索软件的灾难性攻击。