最新版 BlackCat 勒索病毒在近期攻击活动中的应用

关键要点

微软威胁情报观察到基于开源通信框架 Impacket 的新版 BlackCat 勒索病毒正在被用于近来的攻击活动。攻击者利用 Impacket 的凭证转储和远程服务执行模块广泛部署 BlackCat 勒索病毒。该版本包含 Remcom 黑客工具，用于远程代码执行。BlackCat 勒索病毒与知名 RaaS 团伙 LockBit 可能存在联系，二者相互交替分享渗透工具和漏洞。

微软威胁情报团队发现，最近一款新版 BlackCat 勒索病毒正在使用开源通信工具 Impacket 进行攻击，这个工具帮助攻击者在目标环境中进行横向移动。

在8月17日的 X前身为Twitter帖子中，微软研究人员表示，Impacket 提供了凭证转储和远程服务执行模块，这使得攻击者能广泛部署 BlackCat 勒索病毒。此外，新的 BlackCat 版本还在可执行文件中嵌入了 Remcom 黑客工具，以便进行远程代码执行。

有关新版本 BlackCat 勒索病毒的演变，IBM Security XForce 于5月30日的博客中进行了详细分析，提到这个新的加密工具现已演变成一个包含 Impacket 的工具包。 IBM的相关研究 进一步阐释了这个加密器的演变过程。

hdks.黑洞加速器下载

Coalfire 的红队操作负责人 Jesse Ratcliffe 提到，ALPHV/BlackCat 勒索病毒团伙过去一年在全球范围内造成了许多混乱和破坏。仅在8月份，ALPHV 就攻击了至少四家公司，泄露了每家公司关于员工和企业资产的敏感数据。

Ratcliffe 还指出，安全研究人员推测 BlackCat 的领导者可能与知名的 RaaS 团伙 LockBit 相关联，而这两个团伙也曾互相交换渗透工具和漏洞。

“随着威胁行为者不断扩展他们的工具和技术，他们定制的勒索病毒也不断演变，”Ratcliffe 表示，“提前采取防御措施至关重要，包括制定应对攻击的‘末日’计划，同时修补系统，并监测基础设施中可疑和未经授权的访问。”

Keeper Security 的联合创始人兼首席执行官 Darren Guccione 也补充说，只要勒索病毒团伙继续获得收入，并且不受到惩罚，我们就可以预期事件发生率会上升。

“对于今天的网络犯罪分子而言，现成的勒索病毒工具变得愈加复杂，而并非所有公司都能充分抵御网络攻击，尽管随着技术依赖和远程工作的普及，攻击面也在不断扩大，”Guccione 表示。

相关链接

IBM Security XForce 对 BlackCat 勒索病毒的研究BlackCat 和 LockBit 群体的关系分析