近日,專家對兩起勒索軟體攻擊分析發現,BlackCat和BlackMatter的戰術、技術和程式(TTPs)有重疊之處,表明這兩個組織之間有很強的聯系。
雖然勒索軟體組織針對其攻擊的能見度增加而重塑行動是很典型的,但BlackCat(又名Alphv)标志着一個新的領域,即該網絡犯罪組織是由其他勒索軟體即服務(RaaS)行動的附屬機建構立的。
BlackCat于2021年11月首次出現,此後在過去幾個月裡針對世界各地的幾個組織,它被稱為與BlackMatter相似,BlackMatter勒索軟體,源于DarkSide,它在2021年5月對Colonial Pipeline的高調攻擊引起了人們的注意。
在上個月接受Recorded Future的The Record采訪時,BlackCat的一位代表否認了關于它是BlackMatter的重塑的猜測,同時指出它是由其他RaaS集團有關的附屬機構組成的。
"在某種程度上,我們都與gandrevil [GandCrab / REvil]、blackside [BlackMatter / DarkSide]、mazegreggor [Maze / Egregor]、lockbit等有聯系。"我們借用了他們的優勢,消除了他們的劣勢。"
"BlackCat似乎是一個垂直業務擴張的案例"Cisco Talos研究人員Tiago Pereira和Caitlin Huey說:“從本質上講,這是一種控制上遊供應鍊的方式,使對他們的業務至關重要的服務(RaaS營運商)更适合他們的需求,并增加另一個收入來源"。
更重要的是,網絡安全公司說,目前觀察到2021年9月的BlackMatter攻擊和2021年12月的BlackCat攻擊之間有一些共同點,包括使用的工具和檔案名,以及為保持對目标網絡的持續通路而采用的一個域名。
這種重疊使用相同的指令和控制位址的情況引起了一種可能性,即使用BlackMatter的分支機構可能是BlackCat的早期采用者之一,這兩種攻擊都需要15天以上的時間才能達到加密階段。
"正如我們以前多次看到的那樣,RaaS服務來了又走。然而,他們的附屬機構可能會簡單地轉移到一個新的服務。研究人員說:"随着他們的到來,許多TTPs可能會持續存在。
這些發現是在黑莓公司詳細介紹了一個新的基于.NET的勒索軟體家族,名為LokiLocker,不僅是加密檔案,而且還包括一個可選的擦除功能,旨在清除所有非系統檔案,并在受害者拒絕在指定時間内付款的情況下覆寫主引導記錄(MBR)。
"研究人員說:"LokiLocker作為一個有限通路的勒索軟體即服務計劃,似乎被賣給了相對較少的經過仔細審查的分支機構,閉門造車。至少從2021年8月開始活躍,到目前為止檢測到的大多數受害者都集中在東歐和亞洲。
注:本文由E安全編譯報道。