ALPHV/BlackCat 勒索软件团伙或将退出运营

重点总结

随着 ALPHV/BlackCat 勒索软件团伙的消息称其将在一次可能的退出骗局中关闭运营，研究人员发布了该勒索软件二进制文件的新技术分析。

Trustwave SpiderLabs 于周三发布的报告深入探讨了该团伙自去年 December 被 FBI 首次打击后重新崛起以来，在部署 BlackCat 勒索软件过程中所使用的远程访问和隐蔽策略。

ALPHV/BlackCat 的泄露网站在周五第二次关闭，现已更换为 FBI 的查封通知，但安全专家表示该通知很可能是虚假的。

检查该网站发现，查封横幅是从一个存档中提取的，尽管其页面上出现了 Europol 和国家犯罪局 (NCA) 的标志，但这两个机构对此次查封并没有涉及，BleepingComputer 报道。

该网络团伙的操作员声称由于执法干涉，他们计划停止运营，并以 500 万美元的价格出售 BlackCat 勒索软件的源代码但这一举动恰逢其被指控从一个自己的附属机构中盗取了 2200 万美元的赎金后，声称对Change Healthcare 的攻击负责。这使得该团伙的行为遭到许多人标记为“退出骗局”。

“基于我们的经验，我们认为 BlackCat 宣称因执法压力而关闭的说法是一场骗局。我们预计他们会在违约调整后以新的身份或品牌卷土重来，”Trustwave 的首席威胁猎人 Reegun Jayapaul 在给 SC Media 的邮件中表示。“这一策略为他们在重新出现时，提供了最后一次显著的诈骗机会。”

无论 ALPHV/BlackCat 是以不同的名称返回，还是其勒索软件即服务 (RaaS) 版本被出售并带入新管理，组织应继续警惕 BlackCat 的勒索软件战术，即便面临这些奇怪的动荡。

“无论 BlackCat 是否出售其源代码，威胁行为者总是会不断磨练和发展他们的技术，”Trustwave SpiderLabs 威胁猎队的全球总监 Shawn Kanady 告诉 SC Media。

BlackCat 勒索软件“版本 3”的新隐蔽特性

Trustwave 研究人员研究的 BlackCat 变种比以前的版本更隐蔽，因为执行勒索软件二进制文件需要一个独特的 64 字符十六进制访问令牌。这使得研究人员通过传统手段下载恶意软件样本并研究代码的难度大大增加，Kanady 在邮件中表示。

“我们能够从一个被感染的机器上提取这个版本。这为我们提供了关于其部署和能力的良好洞察，”Kanady 表示。“这与其他版本的关键区别在于对访问令牌的严格要求。每个令牌都是独特的，恶意软件只会在拥有该令牌的情况下执行。”

Trustwave 指出，BlackCat 使用两种合法的远程访问软件Total Software Deployment 和 ScreenConnect悄然建立了感染系统的后门。这与上周 CISA、FBI 和 HHS 发布的联合警告，强调该

拉丁美洲银行遭遇新型BBTok木马攻击 媒体

新一波BBTok银行木马攻击在墨西哥和巴西席卷40多家银行关键要点超过40家墨西哥和巴西的银行受到新型BBTok银行木马的攻击。攻击者利用虚假链接和ZIP附件进行木马的传播。木马会伪装成银行界面以收集...

更新版 Agent Tesla 变种在新的网络钓鱼活动中被部署 媒体

西班牙语用户面临的新钓鱼攻击关键要点最新的钓鱼攻击针对讲西班牙语的用户，使用更新版 Agent Tesla 恶意软件。初始攻击通过伪造的西班牙语 SWIFT 转账通知邮件进行，包含利用 CVE2017...