復雜危險的勒索軟件 BlackCat 或將開啟新的攻擊模式

近日，專家對兩起勒索軟件攻擊分析發現，BlackCat和BlackMatter的戰術、技術和程序（TTPs）有重疊之處，表明這兩個組織之間有很強的聯系。

雖然勒索軟件組織針對其攻擊的能見度增加而重塑行動是很典型的，但BlackCat（又名Alphv）標志著一個新的領域，即該網絡犯罪組織是由其他勒索軟件即服務（RaaS）行動的附屬機構建立的

BlackCat于2021年11月首次出現，此后在過去幾個月里針對世界各地的幾個組織，它被稱為與BlackMatter相似，BlackMatter勒索軟件，源于DarkSide，它在2021年5月對Colonial Pipeline的高調攻擊引起了人們的注意。

在上個月接受Recorded Future的The Record采訪時，BlackCat的一位代表否認了關于它是BlackMatter的重塑的猜測，同時指出它是由其他RaaS集團有關的附屬機構組成的。

"在某種程度上，我們都與gandrevil [GandCrab / REvil]、blackside [BlackMatter / DarkSide]、mazegreggor [Maze / Egregor]、lockbit等有聯系。"我們借用了他們的優勢，消除了他們的劣勢。"

"BlackCat似乎是一個垂直業務擴張的案例"Cisco Talos研究人員Tiago Pereira和Caitlin Huey說：“從本質上講，這是一種控制上游供應鏈的方式，使對他們的業務至關重要的服務（RaaS運營商）更適合他們的需求，并增加另一個收入來源"。 

更重要的是，網絡安全公司說，目前觀察到2021年9月的BlackMatter攻擊和2021年12月的BlackCat攻擊之間有一些共同點，包括使用的工具和文件名，以及為保持對目標網絡的持續訪問而采用的一個域名。

這種重疊使用相同的命令和控制地址的情況引起了一種可能性，即使用BlackMatter的分支機構可能是BlackCat的早期采用者之一，這兩種攻擊都需要15天以上的時間才能達到加密階段。

"正如我們以前多次看到的那樣，RaaS服務來了又走。然而，他們的附屬機構可能會簡單地轉移到一個新的服務。研究人員說："隨著他們的到來，許多TTPs可能會持續存在。

這些發現是在黑莓公司詳細介紹了一個新的基于.NET的勒索軟件家族，名為LokiLocker，不僅是加密文件，而且還包括一個可選的擦除功能，旨在清除所有非系統文件，并在受害者拒絕在指定時間內付款的情況下覆蓋主引導記錄（MBR）。

"研究人員說："LokiLocker作為一個有限訪問的勒索軟件即服務計劃，似乎被賣給了相對較少的經過仔細審查的分支機構，閉門造車。至少從2021年8月開始活躍，到目前為止檢測到的大多數受害者都集中在東歐和亞洲。