吳明宜安全研究人員發現第一隻以 Rust 程式語言撰寫,也是今年最高明的專業勒索軟體黑貓 (BlackCat),近日在網路上散佈。
資安網站 Recorded Future 及 MalwareHunter Team 雙雙發現具高度客製化功能,可在各種企業環境中發動攻擊的勒索軟體,名為 ALPHV,又名黑貓 (BlackCat) 。
There is a very interesting new Rust coded ransomware (first ITW?), BlackCat.
Another one used to encrypt companies’ networks.
Already seen some victims from different countries, from the second half of past November.
Also look at that UI. Back to ’80s?
😂@demonslay335 @VK_Intel pic.twitter.com/YttzWWUD3c— MalwareHunterTeam (@malwrhunterteam) December 8, 2021
研究人員並指出,BlackCat 為第一隻以 Rust 程式語言開發的勒索軟體。惡意程式界過去很少見,但這種語言因為效能高,且能防止記憶體外洩,近年開始流行。早前只有 2 隻類似勒索軟體,一隻僅出現在 GitHub 上,另一隻叫 BadBee Team,但已經消失。
MalwareHunter Team 知名研究人員 Michael Gillespie 指出,BlackCat 相當高明,因為它可在 Windows 、 Linux 、 VMware ESXi 系統上執行。 BlackCat 還可以設定網域登入憑證,可用於在同一網路內散佈並加密其他裝置,此外它還提供控制台的 UI,允許攻擊者監控攻擊的進展。 Recorded Future 研究人員則推測它作者可能涉入過 REVil 行動。
BlackCat 12 月初現身於網路地下論壇 XSS 及 Exploit 上,宣傳 BlackCat 勒索軟體服務 (ransomware as a service, RaaS) 。和其他勒索軟體一樣,BlackCat 也使出雙重勒索技倆,加密資料後向受害者勒索金錢,如果對方不付錢就在網路上公開資料。它要求的贖金額 150 萬美金到 300 萬美金不等。此外,BlackCat 也招攬用以散佈 BlackCat 的加盟網路夥伴,視贖金高低提供 8 成到 9 成的分帳。
一旦植入到受害者系統上,BlackCat 能關閉安全防護的行程及 Windows 服務,像是備份軟體 Veeam 、備份軟體、資料庫、 Microsoft Exchange 、 Office 、郵件,也能關閉遊戲程式 Steam 不讓受害者連線求救、清空資源回收桶、刪除磁碟區陰影複製服務 (Shadow Volume Copies),利用 Windows Restart Manager API,關閉保持檔案開啟(以防被加密)的 Windows 服務,並且掃瞄其他連網裝置及 Windows 叢集以擴散。
研究人員發現多個洩密網站,分別張貼了數家受害者電腦上竊來的資料,顯示每個網站是由加盟網路各自設立經營。所幸研究人員判斷,目前感染情況還限於局部網路,僅在美國、澳洲及印度感染少部份電腦。