在陰暗的網絡犯罪世界中,BlackCat 勒索軟件已成為一種可怕及複雜的威脅。請繼續閱讀,瞭解 BlackCat 勒索軟件的內部運作機制以及如何防範它。
甚麽是 BlackCat 勒索軟件?
自 2021 年 11 月出現以來, BlackCat (又稱 ALPHV 或 ALPHV -ng)已成為勒索軟件領域中的一個重要威脅。這種勒索軟件以「勒索軟件即服務(RaaS)」的方式營運,被認為是其中一種最複雜的 RaaS 營運活動。BlackCat 以使用 Rust 程式設計語言和令人不寒而慄的「三重勒索」策略而令人矚目。
BlackCat 勒索軟件如何運作?
BlackCat 勒索軟件以惡意軟件形式運作,透過對 Rust 程式設計語言的非常規使用而顯得與眾不同。這種惡意軟件的適應能力可擴展到多種目標設備和潛在漏洞,通常與已在在的威脅活動組織一起進行攻擊。BlackCat 的惡毒之處在於其堅定不移的攻擊方法 -- 對受害者的資料進行加密、潛入並採用非常惡辣的「三重勒索」策略。三重勒索不僅包括在未付贖金的情況下威脅暴露被盜資料,還包括在未能滿足贖金要求時預示可能會發動分散式拒絕服務(DDoS)攻擊。
作為一種「勒索軟件即服務 (RaaS)」業務, BlackCat 的商業模式圍繞著允許其他網絡犯罪分子使用其勒索軟件來進行他們自己的活動,並從可觀的贖金收益中收取超出該行業標準的 70% 以上份額。BlackCat 廣泛的自訂選項進一步增強其吸引力,即使是經驗不足的附屬會員也能對企業實體發動複雜的攻擊。雖然 BlackCat 索取的贖金經常高達數百萬美元,但提前付款可能會獲得折扣。不過,若企業考慮付款也必須謹慎行事,因為支付贖金可能會無意中資助犯罪活動, 而且無法保證檔案得到修復。
通常情況下, BlackCat 作案者會要求用比特幣等加密貨幣支付贖金, 以換取難以捉摸的解密金鑰。此外,受害者還會在螢幕上看到指示他們如何提交贖金和獲取金鑰的資訊,這進一步加大了勒索活動的壓力。
BlackCat 勒索軟件是如何傳播的?
BlackCat 的主要攻擊載體包括受感染的電子郵件和惡意網站連結,從而誘使毫無戒心使用者跌入陷阱。進入系統後, BlackCat 的病毒就會在整個系統中迅速、廣泛地擴散。
BlackCat 與其他勒索軟件變種的不同之處在於它使用了 Rust 程式設計語言。Rust 因快速、穩定、卓越的記憶體管理以及規避現有偵測方法的能力等特點而令其脫穎而出。這些特性使其成為網絡犯罪分子手中的強大工具。值得注意的是, BlackCat 的適應能力已擴展至 Linux 等非 Windows 平台,而 Linux 平台通常面對較少的惡意軟件威脅。這為負責應對這種不斷演變的威脅的 Linux 管理員帶來了獨特的挑戰。
BlackCat 的靈活性歸功於 JSON 設定檔,它為使用者提供四種不同的加密演算法選擇,自訂贖金備註,指定排除哪些檔案、資料夾和擴展名,並定義終止的服務和流程,從而確保一個無縫的加密過程。此外,BlackCat 的可設定性還擴展到網域憑據的使用,進一步增加其傳播到其他系統的能力。
BlackCat 還超越了暗網的限制範圍,在公共互聯網上建立了一個資料洩露網站。其他組織通常在暗網上營運這些網站,以證明資料洩露並脅迫受害者支付贖金,但 BlackCat 的公共網站則改變了遊戲規,令更廣泛的受眾(包括現有和潛在客戶、股東和記者)能夠見到其活動。
BlackCat 勒索軟件的典型受害者
與著名的大型獵殺勒索軟件威脅的作案手法一樣, BlackCat 勒索軟件的典型受害者也是大型機構,選擇這些機構所依據的策略是因為可獲得最大金額的贖金。報告顯示勒索金額的差異很大,從數十萬美元到數百萬美元不等,都是以加密貨幣方式支付。
雖然受害者的確實數目仍無法確定,但從該組織的 Tor 洩密網站上公佈的二十多個目標就能看出 BlackCat 確實是構成了巨大的威嚇。這些受害者遍佈各個行業和國家,包括澳洲、巴哈馬、法國、德國、意大利、荷蘭、菲律賓、西班牙、英國和美國。受影響的行業範圍非常廣泛,從商業服務、建築、能源到時裝、金融、物流、製造業、製藥、零售和技術。
BlackCat 勒索軟件的攻擊例子
2023 年 11 月 – 漢瑞祥公司 (Heny Schein)
2023 年 11 月,BlackCat 勒索軟件盯上了財富 500 強醫療保健機構漢瑞祥公司。據報導,這個名為 ALPHV 的勒索軟件團夥聲稱竊取了 35TB 的資料,並與漢瑞祥公司展開談判。起初,該公司收到解密金鑰並開始恢復系統,但在談判破裂後,該團夥重新對所有資料進行了加密。隨後情況不斷升級,該團夥威脅要公佈內部資料,但後來他們又從其網站刪除資料,暗示可能會達成協議。這次攻擊在資料被發佈到網上的兩週前發生,導致漢瑞祥公司的業務暫時中斷。公司採取了預防措施,向警方報案並聘請電腦鑑證專家進行調查。
2023 年 8 月 – 精工集團公司
在 2023 年 8 月,精工集團公司證實遭到 BlackCat 勒索軟件團夥攻擊並發生資料洩露事件,涉及洩露 60,000 份記錄。受影響的資料包括客戶記錄、業務交易連絡人、求職者詳細資訊和員工資訊。幸好,信用卡資料仍然安全。對此精工採取了一系列措施,例如阻止外部伺服器通訊、部署 EDR 系統和實施多因素身份驗證。精工確認了與網絡安全專家合作的計劃,從而提高安全防護能力以防止未來發生同類事件。
如何防範 BlackCat 勒索軟件的攻擊
保護你的系統和資料免受 BlackCat 勒索軟件攻擊的方法。這些防護措施包括:
員工教育:
教育員工應對 BlackCat 勒索軟件和其他惡意威脅涉及幾個關鍵重點:
- 培訓應包括識別網絡釣魚電子郵件,這是一種常見的勒索軟件傳播方式。
- 網絡釣魚電子郵件通常會冒充銀行或貨運公司等信譽良好的來源。這些電子郵件可能包含可安裝勒索軟件的惡意附件或連結。
- 處理來自不明寄件者的電子郵件時務必謹慎,避免未經授權下載。
- 員工應及時更新軟件和防毒程式,並知道如何向 IT 或安全人員報告可疑活動。
- 定期的安全意識培訓能讓員工充分瞭解最新勒索軟件威脅和預防的最佳實踐方法。這將有助降低 BlackCat 勒索軟件事件和其他網絡安全隱患的風險。
資料加密和存取控制:
保護敏感資料是抵禦 BlackCat 勒索軟件和類似威脅的有力防禦措施。透過採取加密和存取控制,機構可以大幅降低 BlackCat 勒索軟件的感染風險和成功攻擊所帶來的可能後果:
- 加密是將資料轉換成一種代碼,如果沒有相應的解密金鑰就幾乎無法破譯。
- 即使勒索軟件成功侵入系統並存取到加密資訊,資料也能得到保護。
- 關鍵資料,包括財務記錄、個人資訊和重要業檔案應不斷地進行加密。
- 可以使用各種加密工具,例如 Windows 版 BitLocker 或 Mac 版 FileVault 或第三方加密軟件。
- 實施存取控制措施對於受到限制的資料也同樣重要,應根據工作職責和嚴格的密碼要求來採取使用者認證和授權流程。
- 即使威脅的作案者獲得加密資料,如果沒有解密金鑰仍然無法使用這些資料,而解密金鑰應與加密資料安全地分開儲存。
資料備份:
定期備份資料是防範 BlackCat 勒索軟件和類似惡意軟件的最有效方法之一:
- 這包括製作重要檔案的副本,並將其儲存在一個分開的獨立位置,例如外置硬碟、雲端儲存或單獨的電腦。
- 感染 BlackCat 勒索軟件,可將受影響的檔案刪除,然後從備份恢復原來的資料,而無需支付贖金或冒永久失去檔案的風險。
- 最重要的是,備份必須儲存在遠離主要電腦或網絡的獨立位置,以防外洩。推薦的儲存選項包括實體分離位置或具有強大安全和加密協定的知名雲端服務。
軟件更新:
定期更新軟件可抵禦 BlackCat 勒索軟件和相關惡意軟件的威脅:
- 更新通常包括解決勒索軟件攻擊者可能利用的漏洞的安全修補程式。供應商會在發現漏洞後發佈更新程式,以防止被利用。
- 這些更新程式包括安全修補程式、漏洞修復和新功能。忽視這些更新會使系統容易受到攻擊。
- 攻擊者通常會針對過時的軟件,例如操作系統、網絡瀏覽器和外掛程式。堅持安裝更新程式可提高安全防護能力,使攻擊者難以利用漏洞。
- 採用自動修補程式管理軟件可進一步簡化更新流程、自動安裝、在非工作時間安排更新及提供詳細的系統狀態報告。這種定期更新和自動修補程式管理的結合有助降低 BlackCat 勒索軟件感染和其他網絡威脅的風險。
使用網絡安全工具:
雖然推行上述措施可以大幅增強你對 BlackCat 勒索軟件的防禦能力,但使用專門的網絡安全產品作為對這些策略的補充措施也十分重要。例如:
- Kaspersky Premium 透過實時威脅偵測、高級防火牆和自動更新提供全面保護,可持續地確保安全,防範包括勒索軟件在內的各種網絡威脅。
- Kaspersky VPN 透過對你的互聯網連線進行加密並轉送到安全伺服器來提升網上安全,這是一個保護你的資料的理想選擇,尤其是針對使用公共 Wi-Fi 網絡。
- 為了增強對勒索軟件的防禦能力, Kaspersky Password Manager 會以安全方式儲存你的網上帳戶,並為你產生強大、唯一的密碼,從而降低因弱密碼或重複使用密碼而構成的洩露風險。
總之,隨著威脅形勢的不斷演變,將強大的網絡安全實踐方法與最先進的工具結合起來是一種必須採取的手段。採用一個整體防護方法,包括員工教育、資料加密、存取控制、定期資料備份和軟件更新以及使用網絡安全產品,將大幅提升你的網上安全,並有助你抵禦 BlackCat 勒索軟件和其他惡意威脅。
關於 BlackCat 勒索軟件的常見問題
甚麼是 BlackCat 勒索軟件?
BlackCat,也稱為 ALPHV 或 ALPHV-ng,於 2021 年 11 月出現,此後成為勒索軟件領域的主要威脅。BlackCat 以「勒索軟件即服務 (RaaS)」的形式運作,被認為是到目前為止最先進的 RaaS 營運活動之一。BlackCat 以其使用 Rust 程式設計語言和強大的「三重勒索」方法而聞名。
BlackCat 勒索軟件受害者包括哪些例子?
BlackCat 策略性地針對大型機構要求支付大量贖金,而所要求的金額有所不同,通常從數十萬到數百萬美元的加密貨幣。在該組織的 Tor 洩露網站上,我們已確定 20 多個來自全球多個國家的受害機構。目標行業包括商業服務、建築、能源、時裝、金融、物流、製造業、製藥、零售和科技。
相關產品:
