什麼是 Blackcat 勒索軟件以及如何防禦它？

已發表: 2022-12-27

網絡攻擊是一種蓄意和惡意的嘗試，旨在通過現有漏洞獲得對計算機系統或網絡的未授權訪問。這樣做可以竊取敏感信息並破壞正常操作。

近年來，勒索軟件已成為網絡犯罪分子的首選網絡攻擊工具。勒索軟件通常通過網絡釣魚電子郵件、路過式下載、盜版軟件和遠程桌面協議等傳播。

一旦計算機感染了勒索軟件，勒索軟件就會對計算機中的重要文件進行加密。然後黑客要求贖金以恢復加密數據。

網絡攻擊可能危及一個國家的國家安全，削弱經濟關鍵部門的運營，並造成巨大的破壞和嚴重的經濟損失。這正是 WannaCry 勒索軟件網絡攻擊所發生的情況。

2017 年 5 月 12 日，據信起源於朝鮮的名為 WannaCry 的勒索軟件傳播到世界各地，並在不到兩天的時間內感染了 150 多個國家/地區的 200,000 多個計算機系統。 WannaCry 以運行 Windows 操作系統的計算機系統為目標。它利用了操作系統服務器消息塊協議中的一個漏洞。

此次襲擊的最大受害者之一是英國國民健康服務體系 (NHS)。他們的 70,000 多台設備，包括計算機、影院、診斷設備和 MRI 掃描儀，都受到了感染。醫生無法訪問他們的系統或需要照顧病人的病人記錄。這次襲擊使 NHS 損失了近 1 億美元。

那就是一個可以變得多糟糕。然而，情況可能會變得更糟，尤其是對於新的和更危險的勒索軟件，如 BlackCat，它留下了一條充滿受害者的道路。

黑貓勒索軟件

BlackCat 勒索軟件，被其開發人員稱為 ALPHV，是一種惡意軟件，在感染系統後，會洩露和加密受影響系統中的數據。滲透涉及復制和傳輸存儲在系統中的數據。一旦 BlackCat 洩露並加密了關鍵數據，就會提出以加密貨幣支付贖金的要求。 BlackCat 受害者需要支付贖金才能重新獲得對其數據的訪問權限。

BlackCat 不是普通的勒索軟件。與通常使用 C、C++、C#、Java 或 Python 編寫的其他勒索軟件不同，BlackCat 是第一個使用 Rust 編寫的成功勒索軟件。此外，BlackCat 還是第一個在透明網絡上擁有網站的勒索軟件家族，他們會在該網站上洩露從攻擊中竊取的信息。

與其他勒索軟件的另一個主要區別是 BlackCat 作為勒索軟件即服務 (RaaS) 運行。 Raas 是一種網絡犯罪商業模式，勒索軟件創建者將其勒索軟件作為服務出租或出售給其他個人或團體。

在此模型中，勒索軟件創建者為其他人提供所有必要的工具和基礎設施來分發和執行勒索軟件攻擊。這是為了換取他們從勒索軟件支付中獲得的一部分利潤。

這解釋了為什麼 BlackCat 主要針對組織和企業，因為與個人相比，他們通常更願意支付贖金。與個人相比，組織和企業支付的贖金也更高。網絡攻擊中的人為引導和決策被稱為網絡威脅參與者 (CTA)。

為了迫使受害者支付贖金，BlackCat 使用了“三重勒索技術”。這涉及復制和傳輸受害者的數據，並在他們的系統上加密數據。然後要求受害者支付贖金以訪問他們的加密數據。如果不這樣做會導致他們的數據洩露給公眾和/或在他們的系統上發起拒絕服務 (DOS) 攻擊。

最後，聯繫那些將受到數據洩露影響的人，並告知他們的數據將被洩露。這些通常是客戶、員工和其他公司附屬機構。這樣做是為了迫使受害組織支付贖金，以避免因數據洩露而導致的聲譽損失和訴訟。

BlackCat 勒索軟件的工作原理

根據 FBI 發布的快速警報，BlackCat 勒索軟件使用之前洩露的用戶憑據來獲取對系統的訪問權限。

一旦成功進入系統，BlackCat 就會使用它擁有的訪問權限來破壞存儲在活動目錄中的用戶和管理員帳戶。這允許它使用 Windows 任務計劃程序來配置惡意組策略對象 (GPO)，從而允許 BlackCat 部署其勒索軟件來加密系統中的文件。

在 BlackCat 攻擊期間，PowerShell 腳本與 Cobalt Strike 一起使用，以禁用受害者網絡中的安全功能。 BlackCat 然後從存儲數據的地方竊取受害者的數據，包括從雲提供商那裡。完成此操作後，指導攻擊的網絡威脅參與者會部署 BlackCat 勒索軟件來加密受害者係統中的數據。

然後，受害者會收到一張贖金票據，通知他們他們的系統遭受了攻擊並且重要文件被加密。贖金還提供瞭如何支付贖金的說明。

為什麼 BlackCat 比一般的勒索軟件更危險？

與普通勒索軟件相比，BlackCat 是危險的，原因有很多：

它是用 Rust 編寫的

Rust 是一種快速、安全的編程語言，並提供改進的性能和高效的內存管理。通過使用 Rust，BlackCat 獲得了所有這些好處，使其成為具有快速加密功能的非常複雜和高效的勒索軟件。這也使得 BlackCat 難以進行逆向工程。 Rust 是一種跨平台語言，它允許威脅參與者輕鬆定制 BlackCat 以針對不同的操作系統，例如 Windows 和 Linux，從而增加他們的潛在受害者範圍。

它使用 RaaS 商業模式

BlackCat 使用勒索軟件即服務模型，允許許多威脅參與者部署複雜的勒索軟件，而無需知道如何創建。 BlackCat 為威脅行為者完成了所有繁重的工作，他們只需要將它部署在易受攻擊的系統中。這使得有興趣利用易受攻擊系統的威脅行為者可以輕鬆進行複雜的勒索軟件攻擊。

它為附屬公司提供巨額支出

BlackCat 採用 Raas 模型，創建者通過從支付給部署它的威脅行為者的贖金中抽成來賺錢。與其他 Raas 家族收取高達 30% 的威脅行為者贖金支付不同，BlackCat 允許威脅行為者保留他們支付的贖金的 80% 至 90%。這增加了 BlackCat 對威脅行為者的吸引力，使 BlackCat 能夠吸引更多願意將其部署在網絡攻擊中的分支機構。

它在清晰的網絡上有一個公共洩密站點

與其他在暗網上洩露被盜信息的勒索軟件不同，BlackCat 將被盜信息洩露到可在明網上訪問的網站上。通過明文洩露被盜數據，更多人可以訪問數據，增加網絡攻擊的影響，並給受害者支付贖金的壓力。

Rust 編程語言使 BlackCat 的攻擊非常有效。通過使用 Raas 模型並提供巨額回報，BlackCat 吸引了更多更有可能在攻擊中部署它的威脅參與者。

BlackCat 勒索軟件感染鏈

BlackCat 使用受損憑據或利用 Microsoft Exchange Server 漏洞獲得對系統的初始訪問權限。在獲得系統訪問權限後，惡意行為者會取消系統的安全防禦並收集有關受害者網絡的信息並提升他們的特權。

BlackCat 勒索軟件隨後在網絡中橫向移動，獲得對盡可能多的系統的訪問權限。這在贖金需求期間派上用場。受到攻擊的系統越多，受害者支付贖金的可能性就越大。

然後，惡意行為者會洩露系統數據以用於敲詐勒索。一旦關鍵數據被洩露，就為要交付的 BlackCat 有效載荷做好了準備。

惡意行為者使用 Rust 交付 BlackCat。 BlackCat 首先停止備份、防病毒應用程序、Windows Internet 服務和虛擬機等服務。完成此操作後，BlackCat 會加密系統中的文件並破壞系統的背景圖像，將其替換為勒索字條。

抵禦 BlackCat 勒索軟件

儘管事實證明 BlackCat 比之前見過的其他勒索軟件更危險，但組織可以通過多種方式保護自己免受勒索軟件的侵害：

加密關鍵數據

Blackhat 的部分勒索策略涉及威脅洩露受害者的數據。通過加密關鍵數據，組織為其數據增加了一層額外的保護，從而削弱了 BlackHat 威脅參與者使用的勒索技術。即使它被洩露，它也不會是人類可讀的格式。

定期更新系統

微軟進行的研究表明，在某些情況下，BlackCat 利用未打補丁的交換服務器來訪問組織的系統。軟件公司會定期發佈軟件更新，以解決可能在其係統中發現的漏洞和安全問題。為了安全起見，請盡快安裝軟件補丁。

在安全位置備份數據

組織應優先考慮定期備份數據並將數據存儲在單獨且安全的離線位置。這是為了確保即使在關鍵數據被加密的情況下，它仍然可以從現有備份中恢復。

實施多重身份驗證

除了在系統中使用強密碼外，還要實施多因素身份驗證，這需要多個憑據才能授予對系統的訪問權限。這可以通過配置系統生成一次性密碼發送到鏈接的電話號碼或電子郵件來完成，這是訪問系統所必需的。

監視網絡上的活動和系統中的文件

組織應不斷監控其網絡上的活動，以盡快檢測和響應其網絡中的可疑活動。網絡上的活動也應由安全專家記錄和審查，以確定潛在威脅。最後，應該建立系統來跟踪系統中文件的訪問方式、訪問者以及使用方式。

通過加密關鍵數據、確保系統處於最新狀態、定期備份數據、實施多因素身份驗證以及監控系統中的活動。組織可以領先一步並防止 BlackCat 的攻擊。

學習資源：勒索軟件

要了解有關網絡攻擊的更多信息以及如何保護自己免受 BlackCat 等勒索軟件的攻擊，我們建議您參加這些課程之一或閱讀以下建議的書籍：

#1。安全意識培訓

對於所有對互聯網安全感興趣的人來說，這是一門很棒的課程。該課程由認證信息系統安全專家 (CISSP) Michael Biocchi 博士提供。

該課程涵蓋網絡釣魚、社會工程、數據洩露、密碼、安全瀏覽和個人設備，並提供有關如何安全上網的一般提示。該課程會定期更新，每個使用互聯網的人都將從中受益。

#2。安全意識培訓，員工網絡安全

本課程專為日常互聯網用戶量身定制，旨在教育他們了解人們通常不知道的安全威脅以及如何保護自己免受威脅。

由 CISSP 認證的信息安全專家 Roy Davis 提供的課程涵蓋用戶和設備責任、網絡釣魚和其他惡意電子郵件、社會工程、數據處理、密碼和安全問題、安全瀏覽、移動設備和勒索軟件。完成課程後您將獲得結業證書，這足以符合大多數工作場所的數據監管政策。

#3。網絡安全：初學者意識培訓

這是 Udemy 課程，由培訓和認證初創公司 Logix Academy 的 Usman Ashraf 提供。 Usman 獲得了 CISSP 認證並擁有博士學位。在計算機網絡領域擁有豐富的行業和教學經驗。

本課程讓學習者深入了解社會工程、密碼、安全數據處理、虛擬專用網絡 (VPN)、惡意軟件、勒索軟件和安全瀏覽技巧，並解釋如何使用 cookie 跟踪人員。該課程是非技術性的。

#4。勒索軟件揭曉

這是由獨立信息安全顧問、網絡安全和數字取證專家 Nihad A. Hassan 撰寫的一本書。該書教授如何減輕和處理勒索軟件攻擊，並讓讀者深入了解現有的不同類型的勒索軟件、它們的分發策略和恢復方法。

預習	產品	評分	價格
	揭露勒索軟件：保護和從勒索軟件攻擊中恢復的初學者指南		23.74 美元	在亞馬遜上購買

本書還介紹了在感染勒索軟件時應遵循的步驟。這包括如何支付贖金、如何執行備份和恢復受影響的文件，以及如何在線搜索解密工具來解密受感染的文件。它還涵蓋組織如何制定勒索軟件事件響應計劃，以最大程度地減少勒索軟件損害并快速恢復正常運營。

#5。勒索軟件：了解。防止。恢復

在本書中，Recorded Future 的高級安全架構師兼勒索軟件專家 Allan Liska 回答了與勒索軟件相關的所有難題。

預習	產品	評分	價格
	勒索軟件：了解。防止。恢復。		17.99 美元	在亞馬遜上購買

該書提供了勒索軟件近年來流行的歷史背景、如何阻止勒索軟件攻擊、惡意行為者使用勒索軟件瞄準的漏洞，以及在勒索軟件攻擊中以最小的損失倖存下來的指南。此外，這本書回答了最重要的問題，你應該支付贖金嗎？本書對勒索軟件進行了令人興奮的探索。

#6。勒索軟件保護手冊

對於任何想要武裝自己抵禦勒索軟件的個人或組織來說，這本書都是必讀的。在本書中，計算機安全和滲透方面的專家 Roger A. Grimes 提供了他在該領域的豐富經驗和知識，以幫助人們和組織保護自己免受勒索軟件的侵害。

預習	產品	評分	價格
	勒索軟件保護手冊		17.00 美元	在亞馬遜上購買

該書為尋求制定針對勒索軟件的強大防禦措施的組織提供了一個可操作的藍圖。它還教導如何檢測攻擊、快速限制損害以及確定是否支付贖金。它還提供了一個遊戲計劃，以幫助組織限制嚴重安全漏洞造成的聲譽和財務損失。

最後，它教導如何為網絡安全保險和法律保護提供安全基礎，以減輕對業務和日常生活的破壞。

作者的話

BlackCat 是一種革命性的勒索軟件，勢必會改變網絡安全的現狀。截至 2022 年 3 月，BlackCat 已成功攻擊 60 多個組織，並成功引起了 FBI 的注意。 BlackCat 是一個嚴重的威脅，任何組織都不能忽視它。

通過採用現代編程語言和非常規的攻擊、加密和勒索方法，BlackCat 讓安全專家迎頭趕上。然而，針對這種勒索軟件的戰爭並沒有輸。

通過實施本文中強調的策略並最大限度地減少人為錯誤暴露計算機系統的機會，組織可以保持領先地位並防止 BlackCat 勒索軟件的災難性攻擊。