使用六方金石系统阻断 BlackCat 勒索软件

Beijing Mike

1. BlackCat/ALPHV 勒索软件

BlackCat 集团是一个复杂的 RaaS 操作平台,自 2021 年 11 月起开始活跃,以使用各种方法渗透受害者网络而闻名,包括利用已知漏洞、网络钓鱼攻击和社交工程。一旦进入网络,BlackCat 操作员通常会综合使用各种工具和技术进行横向移动、提升权限和数据外渗。然后,该组织部署其勒索软件有效载荷,对受害者的文件进行加密。

BlackCat 是用 Rust 编程语言实现的,这种语言对文件加密和跨平台兼容性非常有效。文件使用每个文件的 AES 密钥加密,加密时使用每个受害者的 RSA 公钥。由于 BlackCat 利用附属网络进行入侵、数据外渗和部署勒索软件,因此附属网络之间的攻击流程差异很大。当受害者支付文件解密赎金时,他们会收到适用于 11 种不同平台的 BlackCat 解密工具。

BlackCat/ALPHV 11 种不同平台的解密工具

2. BlackCat/ALPHV 感染链

下面的示例演示了 BlackCat 附属机构实施的攻击。初始攻击利用了 Microsoft Exchange 中的漏洞,即 CVE-2021-26855、CVE-2021-26857、CVE-2021-26858 和 CVE-2021-27065,这些漏洞可在目标服务器上执行远程代码。

在本用例分析的样本中,BlackCat 附属公司利用 Microsoft Exchange 中的四个漏洞初步访问了受害者的网络。进入后,攻击者使用各种工具和技术收集受害者环境的信息,包括 cmd.exe、net.exe、ADRecon 和 AdFind。然后,攻击者从 lsass.exe 进程中提取凭据,从而可以使用 RDP 横向移动。

一旦访问了受害者的关键系统,攻击者就会使用 MegaSync 和 Rclone 外泄数据。最后,攻击者使用 PsExec 远程执行 BlackCat 勒索软件有效载荷。

BlackCat/ALPHV 感染链

这次攻击显示了黑猫勒索软件集团的复杂性和创造性,该集团不断改进其战术和技术,以逃避检测并实现利润最大化。

3. 按行业分类的 BlackCat/ALPHV 感染情况

在过去的一年里,BlackCat 的攻击集中在各行各业,主要是服务业,约占该集团攻击总量的 13.78%。该行业包括提供专业、技术和支持服务的各种企业。

BlackCat 还将很大一部分攻击指向制造业,约占 12.99%。该行业包括从事商品生产的公司,涉及汽车、电子、纺织等多个领域。

由律师事务所和法律服务提供商组成的法律行业也是 BlackCat 的重要攻击目标,约占攻击总数的 8.27%。攻击者很可能看到了破坏与律师事务所及其客户相关的敏感法律信息、客户数据或知识产权的价值。

此外,BlackCat 还对针对金融服务部门的攻击表现出浓厚兴趣,约占攻击总数的 5.51%。该行业包括银行、金融机构、保险公司和其他从事金融交易和服务的实体。攻击者可能试图获取宝贵的金融数据和个人信息,或发现银行系统中其他可利用的漏洞,用于诈骗和其他类型的攻击。

使用 BlackCat 双重勒索攻击针对的垂直行业领域

4. 阻断 BlackCat/ALPHV

首先,让我们说明一下我们的基本演示环境。该环境运行的是Windows 10操作系统,磁盘空间大约80GB,已安装占用的空间大约45GB。其中,测试用的文档大小约500MB,测试用的图片大小约400MB,测试用的音频、视频文件大约是1.7GB。操作系统程序空间大小约11GB,自己安装使用的工具程序空间大约是3GB。

基本测试环境

我们在测试环境中,在没有开启防护的条件下,“引爆”了BlackCat勒索软件。这个勒索软件样本的SHA256值是f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89。

该勒索软件的运行需要通过命令行输入配置参数。这些配置参数的添加增加了该勒索软件运行状态的多样性和复杂性。

该勒索软件样本在大约2分时间内,完成了针对测试环境的破坏,修改了桌面背景并留下了勒索赎金条。

需要说明和澄清的是,我们通过控制台进行的打印在很大程度上拖慢了它的执行速度。事实上,这款勒索软件的运行速度非常快。

BlackCat 加密了未受保护的系统

就像你看到的,在很短的时间内,该勒索软件样本加密了约76,000个文件。

BlackCat 修改了桌面背景

BlackCat 加密了大量文件

我们来看看,六方金石®™勒索软件监控阻断系统是如何阻止 BlackCat 勒索软件的。

很简单,我们只是打开了主引擎的开关。六方金石®™勒索软件监控阻断系统只用了几毫秒的时间,就判断出这是一个加密型勒索软件,并阻止了它。在这次测试中,我们 “引爆 “了 BlackCat 勒索软件 2 次。

在第一种情况下,系统将勒索软件作为单个进程杀死;

在第二种情况下,系统将勒索软件形成的一系列恶意"小团体"进程作为一个进程组杀死。

阻断 BlackCat 勒索软件

我们检查一下,为了判断这是一个勒索软件,我们损失了多少文件。

我们损失了 600 个文件

是的,我们会损失一些文件,以判断一个或一组进程是否是恶意的勒索软件。请记住,六方金石®™勒索软件监控阻断系统不基于文件校验值或者是特征码,它是一个基于行为的勒索软件监控与阻断系统。也正是因为这一技术特点,它具备防范未知勒索软件的能力。

我们损失了 600 个文件,平均每次“引爆”勒索软件损失 300 个文件。而且别担心,六方金石®™勒索软件监控阻断系统会自动备份这些“损失”的文件中的大部分文件。

使用六方金石®™勒索软件监控阻断系统非常有效!

请记住我们的口号:用密码技术对抗勒索软件!