【安全资讯】BlackCat勒索软件分析报告

引言

BlackCat又名AlphaVM或AlphaV，是一种新建立的RaaS勒索软件即服务，其有效载荷是用 Rust 编写的。1月18日，研究人员发布了BlackCat 勒索软件的详细分析报告。

简况

BlackCat于 11 月下旬首次出现，攻击了多个国家的实体，包括澳大利亚、印度和美国，并要求受害者用比特币或门罗币支付 40 万至 300 万美元的赎金。

BlackCat支持 Windows 和 Linux 操作系统，可执行负载支持多种命令，其中多以 VMware 为核心。启动后，BlackCat恶意软件将尝试验证访问令牌的存在，然后查询系统 UUID ( wmic)。

此外，在 Windows 设备上，BlackCat 会尝试删除 VSS（卷影副本）并枚举所有可访问的驱动器以搜索和加密符合条件的文件。BlackCat在执行时尝试终止配置中列出的进程或服务，例如可能禁止加密过程的进程。BlackCat 支持“远程到本地”和“远程到远程”功能。BlackCat 勒索软件执行链如下图（Windows 版）：

受感染的客户将收到赎金通知以及修改后的桌面图像，赎金通知称，受害者不仅文件被加密，并且数据也已经被盗。受害者被指示通过 TOR 连接到攻击者的支付门户。一旦受害者连接到攻击者的门户，就能够进行通信并可能获得解密工具。BlackCat 门户上的所有内容都与特定目标 ID 相关联。

总结

随着更大的勒索团伙Ryuk、Conti、LockBit 和 REvil等逐渐消失，BlackCat已经占据了中端勒索软件团伙中的显着位置，成为一种复杂的威胁。