近日,专家分析了两起勒索病毒攻击事件,发现BlackCat与BlackMatter的战术、技术和程序(TTPs)存在重叠,说明这两个组织存在很强的关联性之间。虽然勒索软件组织通常会重塑运营以响应其攻击可见性的提高,但BlackCat(又名Alphv)标志着一个新的领域,该网络犯罪集团由其他勒索软件即服务(RaaS)运营子公司驱动机构成立。BlackCat于2021年11月首次出现,此后在过去几个月中一直以全球多个组织为目标,它被描述为类似于BlackMatter,BlackMatter勒索软件起源于DarkSide,在2021年5月针对ColonialPipeline进行了高调攻击引起了人们的注意。在上个月接受RecordedFuture的TheRecord采访时,一位BlackCat代表驳斥了有关它是BlackMatter品牌重塑的猜测,同时指出它是由与其他RaaS集团相关的附属公司组成的。“在某种程度上,我们都与gandrevil[GandCrab/REvil]、blackside[BlackMatter/DarkSide]、mazegreggor[Maze/Egregor]、lockbit等有联系。我们借用了他们的长处并消除了他们的短处。”BlackCat似乎是一个垂直业务扩展的案例”,CiscoTalos研究人员TiagoPereira和CaitlinHuey说。(RaaS运营商)更适合他们的需求并增加另一个收入来源”。此外,这家网络安全公司表示,它目前正在观察2021年9月的BlackMatter攻击与2021年12月的BlackCat攻击之间的差异。一些共同点包括工具和使用的文件名和域名用于保持对目标网络的持续访问。这种对相同命令和控制地址的重叠使用增加了BlackMatter的分支机构很可能成为BlackCat的早期采用者的可能性,这两种攻击都需要更多超过15天才能达到加密阶段。”正如我们之前多次看到的那样,RaaS服务来来去去。但是,他们的关联公司可能只是转向新服务。研究人员说:“随着时间的推移,许多TTP可能会持续存在。”调查结果是在黑莓详细介绍了一个名为LokiLocker的新的基于.NET的勒索软件系列之后得出的,该系列不仅可以加密文件,而且还具有可选的擦除功能,旨在擦除所有非系统文件并在受害者拒绝时覆盖主引导记录(MBR)在指定的时间内付款。”“LokiLocker充当一种访问受限的勒索软件软件即服务程序似乎出售给相对较少的经过仔细审查的附属机构,至少从那时起一直在秘密活动2021年8月,迄今为止发现的大多数受害者集中在东欧和亚洲。
