世界经济论坛发布的《2022年全球网络安全展望》报告显示，勒索软件攻击在全球网络领导者网络威胁关心问题中排名第一，成为全球广泛关注的网络安全难题。天际友盟双子座实验室推出了《勒索软件系列报告》，本系列报告正是以当前最为活跃的勒索软件攻击为主题展开，聚焦暗网中多个活跃的勒索软件组织或团伙，梳理各个勒索软件的发展阶段、剖析关键技术细节、盘点重大攻击事件，对勒索软件组织或团伙进行全面画像，希望为未来应对勒索软件攻击提供有力的参考。

《三重勒索软件BlackCat》是本系列报告的第四篇，内容包括背景、简介、技术详情、关联组织分析、Top10攻击国家及行业、总结及发展趋势和附录七个章节，以下为报告内容节选。

作为2021年底入侵活动最为频繁的勒索软件，BlackCat勒索团伙在2022年依然有着不俗的表现。2022年4月，FBI发布警告称，BlackCat勒索软件在2021年11月至2022年3月期间至少被用于攻击了全球60个组织。经统计，截止2022年12月，BlackCat暗网泄密网站受害者数量目前已高达230个，可见BlackCat团伙攻击频率持续增加，未来将是针对全球企业的最重要的勒索软件威胁之一。

BlackCat勒索软件（又名AlphaVM、AlphaV或ALPHV）于2021年11月中旬首次被Malwarehuntertam研究人员披露（如图1），是第一个基于RUST语言编写的专业勒索软件家族系列，并因其高度定制化和个性化的攻击而迅速赢得市场。

图 1 BlackCat首次被Malwarehuntertam披露

BlackCat于2021年12月初开始在某俄罗斯地下犯罪论坛上推广（如图2），通过招募合作组织进而实施勒索攻击，且合作组织保留80-90%的赎金份额，其余部分归BlackCat开发者所有，是目前最复杂和技术最先进的勒索软件即服务 (RaaS) 运营商之一。

图 2 BlackCat在俄语论坛得到推广

BlackCat采用三重勒索策略，不仅会加密文件，窃取敏感数据，并且在暗网泄密网站上列出受害者名单（如图3），迫使受害者缴纳赎金；而且倘若受害者未在最后期限支付赎金，还会进行分布式拒绝服务 (DDoS) 攻击。最近，BlackCat 采取了更为激进的方式来对受害者进行勒索，其甚至在明网推出了一个新的可搜索被盗数据的网站，这使得该组织的勒索攻击对受害者极具压迫性。

图 3 BlackCat泄密网站

此外，BlackCat被认为是现已关停服务的DarkSide/BlackMatter勒索团伙的继任者。2022年2月，BlackCat团伙成员接受The Record采访时表示与BlackMatter存在联系，但并未证实是其复用。但这也从侧面反映，BlackCat大概率具有大量的网络和勒索软件操作经验。

开发语言

与很多勒索软件不同，BlackCat采用Rust语言编写，这是BlackCat的一个主要卖点。Rust是一种更安全的跨平台编程语言，能够进行并发处理。通过利用此编程语言，攻击者能够轻松地针对Windows和Linux等各种操作系统架构对其进行编译，这有助于该勒索软件快速传播。同时由于RUST提供了众多自主开发的选项，通过命令行调用的BlackCat 可实现更具个性化的攻击。

攻击过程

作为一个RaaS有效负载，BlackCat进入目标组织网络的方式同样取决于部署它的RaaS附属机构。以往活动中，BlackCat勒索软件通常利用网络钓鱼邮件进行传播。邮件包含恶意附件或下载链接，文件形式不限于Microsoft Office文档、可执行文件、JavaScript 等。此外，Microsoft  Exchange Server漏洞（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065和CVE-2021-31207）也是BlackCat勒索软件获取初始访问权限的常见入口点。

成功获取初始访问权限后，BlackCat主要借助第三方工具集（如Cobalt Strike）进行交付，然后再使用嵌入式PsExec模块自行横向传播。在执行BlackCat勒索软件之前，攻击者会使用各种批处理脚本来准备加密环境。之后，恶意软件将从注册表中获取Windows系统的MachineGuid（操作系统安装期间生成的唯一密钥）及其UUID，然后继续绕过用户帐户控制 ( UAC )、删除卷影备份、修改引导加载程序、清除Windows事件日志并启动加密过程。BlackCat采用RSA+AES/ChaCha20两种方式加密磁盘文件，加密后文件扩展名为“.7dulptm”。最后释放赎金票据文件：“RECOVER-7dulptm-FILES”（如图4），该内容指示受害者们访问Tor链接。

图 4 BlackCat赎金票据

目前该勒索软件尚未有解密方式，赎金为40万到数百万美元不等，受害者可选择比特币和门罗币两种支付方式。但是，如果受害者使用比特币支付赎金，则需额外支付15%的费用。

利用工具

BlackCat 在整个攻击过程中使用了多个工具，包括远程控制工具Cobalt Strike，用于恢复存储密码的Mimikatz、LaZagne和WebBrowserPassView，以及窃取数据的GO Simple Tunnel (GOST)、MEGAsync 和ExMatter。此外，在一些BlackCat勒索软件活动中，攻击者还被观察到利用了诸如fileshredder之类的反取证工具。

攻击特点

1、个性化操作

BlackCat 完全通过命令行进行操作，支持多种细节配置（如图5），允许自定义文件扩展名、赎金说明、加密模式。其自带一个加密配置，包含要终止的服务/进程列表、避免加密的目录/文件/文件扩展名列表以及来自受害者环境的被盗凭证列表以实现持久化。它会删除所有卷影副本，使用CMSTPLUA COM接口执行权限提升，并在受害者机器上启用“远程到本地”和“远程到远程”链接。

图 5 BlackCat命令行参数

2、灵活加密

根据官方说明，BlackCat勒索软件支持四种加密模式。但据SentinelLabs研究员 Aleksandar Milenkoski对BlackCat勒索软件样本进行逆向分析得出其加密模式实际存在6种，具体描述如下表：

BlackCat支持2种文件加密算法，包括：ChaCha20和AES。在自动模式下，BlackCat勒索软件将检测是否存在AES硬件支持(存在于所有现代处理器中)并使用它。如果不支持AES，则利用ChaCha20进行加密。

3、压迫性策略

如前文所说，BlackCat采用三重勒索策略，不仅会加密文件，窃取敏感数据，甚至可能对受害者系统发起DDoS攻击以迫使其缴纳赎金。

其中，DDoS是利用一批受控制的僵尸主机向一台服务器主机发起的攻击，其攻击强度、造成的威胁、破坏性巨大。同时，DDoS攻击溯源难度大，讹诈成本低，正逐渐成为犯罪团伙的首选勒索手段。除了BlackCat勒索软件，Avaddon、REvil、AvosLocker和Suncrypt等勒索软件犯罪团伙频繁利用DDoS攻击勒索受害者。例如，REvil模仿者向数家VOIP服务提供商发起了全球性DDoS勒索攻击活动。其中一家VOIP服务提供商称，DDoS攻击导致其收入损失900万至1200万美元。目前来说，想要逃避DDOS攻击基本不可能，三重勒索甚至四重勒索将是未来勒索攻击的大势所驱。

通过对部署BlackCat勒索软件的关联威胁组织进行分析，目前至少有两个已知的附属机构正在使用BlackCat，分别是DEV-023和DEV-0504组织。DEV-0237也称为FIN12，该组织以传播Hive、Conti和Ryuk勒索软件而闻名，但从2022年3月开始便将BlackCat加入了其有效负载清单。DEV-0504组织此前则主要部署Ryuk、REvil、LockBit2.0、BlackMatter和Conti勒索软件，现如今也被观察到转向使用BlackCat勒索软件。

此外，值得注意的是，BlackCat和LockBit勒索团伙使用的工具和基础设施之间存在重叠。这似乎表明网络罪犯会共享代码和工具，或是攻击者同时参与了两个勒索软件的开发。

通过对BlackCat勒索组织泄密网站的受害者名单进行统计，其Top10攻击国家如下：

图 6 Top10攻击国家

BlackCat勒索组织似乎偏爱美国企业。其中，欧洲和亚太地区的组织也是其主要攻击对象。

BlackCat勒索组织Top10攻击行业如下：

图 7 Top10攻击行业

金融、专业服务、法律服务等行业依次为BlackCat勒索组织重点关注领域。

BlackCat勒索软件采用非传统编程语言，可使攻击者更加轻松地将其部署在Windows 和Linux以及VMWare等多种设备之上并进行定制化攻击，未来可能会有越来越多的威胁组织将转向使用具有交叉编译功能的语言。同时，不同威胁组织在攻击活动中对BlackCat勒索软件的关联使用也证明该类勒索病毒正变得流行。此外，BlackCat人员与DarkSide/BlackMatter前勒索团伙存在的渊源表明其幕后的行为者似乎经验丰富，其采用三重勒索策略并不断推出更具压迫性的勒索策略将使受害者缴纳赎金的概率大幅上升，BlackCat团伙未来仍将成为勒索软件市场的主要参与者之一。虽然BlackCat目前重点攻击国外用户，但国内用户也应加强防范，规避此类风险。

点击阅读原文，获取完整报告。