《天际友盟：勒索软件系列报告之四-三重勒索软件BlackCat（2023）（15页）.pdf》由会员分享，可在线阅读，更多相关《天际友盟：勒索软件系列报告之四-三重勒索软件BlackCat（2023）（15页）.pdf（15页珍藏版）》请在三个皮匠报告上搜索。

1、BlackCat 勒索软件BlackCat 勒索软件2022-12双子座实验室三重勒索软件 BlackCat勒索软件系列报告之四BlackCat 勒索软件目录CONTENTS01 背景02 简介03 技术详情04 关联组织分析05 TOP10 攻击国家及行业06 总结及发展趋势07 附录3BlackCat 勒索软件BlackCat 勒索软件世界经济论坛发布的2022 年全球网络安全展望报告显示，勒索软件攻击在全球网络领导者网络威胁关心问题中排名第一，成为全球广泛关注的网络安全难题。本系列报告正是以当前最为活跃的勒索软件攻击为主题展开，聚焦暗网中多个活跃的勒索软件组织或团伙，梳理各个勒索软件的发

2、展阶段、剖析关键技术细节、盘点重大攻击事件，对勒索软件组织或团伙进行全面画像，希望为未来应对勒索软件攻击提供有力的参考。前言4BlackCat 勒索软件背景01简介02作为2021年底入侵活动最为频繁的勒索软件，BlackCat勒索团伙在2022年依然有着不俗的表现。2022年4月，FBI 发布警告称，BlackCat 勒索软件在 2021 年 11 月至 2022 年 3 月期间至少被用于攻击了全球 60 个组织。经统计，截止 2022 年 12 月，BlackCat 暗网泄密网站受害者数量目前已高达 230 个，可见 BlackCat 团伙攻击频率持续增加，未来将是针对全球企业的最重要的勒

3、索软件威胁之一。BlackCat 勒索软件（又名 AlphaVM、AlphaV 或 ALPHV）于 2021 年 11 月中旬首次被 Malwarehuntertam 研究人员披露（如图 1），是第一个基于 RUST 语言编写的专业勒索软件家族系列，并因其高度定制化和个性化的攻击而迅速赢得市场。BlackCat于2021年12月初开始在某俄罗斯地下犯罪论坛上推广（如图2），通过招募合作组织进而实施勒索攻击，且合作组织保留 80-90%的赎金份额，其余部分归 BlackCat 开发者所有，是目前最复杂和技术最先进的勒索软件图 1 BlackCat 首次被 Malwarehuntertam 披露5

4、BlackCat 勒索软件BlackCat 勒索软件图 2 BlackCat 在俄语论坛得到推广图 3 BlackCat 泄密网站即服务(RaaS)运营商之一。BlackCat 采用三重勒索策略，不仅会加密文件，窃取敏感数据，并且在暗网泄密网站上列出受害者名单（如图3），迫使受害者缴纳赎金；而且倘若受害者未在最后期限支付赎金，还会进行分布式拒绝服务(DDoS)攻击。最近，BlackCat 采取了更为激进的方式来对受害者进行勒索，其甚至在明网推出了一个新的可搜索被盗数据的网站，这使得该组织的勒索攻击对受害者极具压迫性。此外，BlackCat 被认为是现已关停服务的 DarkSide/BlackM

5、atter 勒索团伙的继任者。2022 年 2 月，BlackCat团伙成员接受 The Record 采访时表示与 BlackMatter 存在联系，但并未证实是其复用。但这也从侧面反映，BlackCat 大概率具有大量的网络和勒索软件操作经验。6BlackCat 勒索软件图 4 BlackCat 赎金票据与很多勒索软件不同，BlackCat 采用 Rust 语言编写，这是 BlackCat 的一个主要卖点。Rust 是一种更安全的跨平台编程语言，能够进行并发处理。通过利用此编程语言，攻击者能够轻松地针对 Windows 和 Linux 等各种操作系统架构对其进行编译，这有助于该勒索软件快速

6、传播。同时由于 RUST 提供了众多自主开发的选项，通过命令行调用的 BlackCat 可实现更具个性化的攻击。作为一个 RaaS 有效负载，BlackCat 进入目标组织网络的方式同样取决于部署它的 RaaS 附属机构。以往活动中，BlackCat 勒索软件通常利用网络钓鱼邮件进行传播。邮件包含恶意附件或下载链接，文件形式不限于 Microsoft Office 文档、可执行文件、JavaScript 等。此外，Microsoft Exchange Server 漏洞（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065 和