根據APLHV勒索軟體(又稱BlackCat)的揭秘網站,竣盟科技發現某一家台灣上市不銹鋼大廠被列入受害者,該跨國企業總部位於南部,為不鏽鋼生產商與通路商,產品以外銷為主,大部份自製品及買賣產品的100%銷往美國子公司,ALPHV宣稱已盜取該企業的大量數據,當中包含內部文件、發票、個人資料、NDA、合約等,在張貼的告示中,ALPHV稱該企業的工廠在攻擊發生後,設備遇到問題,目前尚不清楚這說法是否屬實。
ALPHA/BlackCat被認為是 Darkside 和 BlackMatter 的繼任者,是最複雜、技術最先進的勒軟體即服務 (RaaS) 操作之一,ALPHV是第一支以Rust語言編寫的勒索軟體,相比C 或C++ 語言,用Rust 開發的程式更難找到常見的編程漏洞, Rust也可以更快速和穩定,允許更好的記憶體管理,並且能夠逃避現有的檢測功能。BlackCat勒索軟體允許高度可配置,它包括一個 JSON 檔案,允許用戶在四種不同的加密算法之間進行選擇,自定訂贖金記錄,指定要忽略哪些檔案、檔案夾和副檔名,並指定應該終止哪些服務和進程,以確保檔案被正確加密。BlackCat 還可以配置使用網域憑證,這將更好地使其傳播到其他系統。
另外,ALPHV採用“四重勒索”模式:
- 不僅會加密數據、感染網路和系統,還會通過其他的工具進行竊取敏感數據,以被盜數據勒索受害者支付贖金
- 在其揭秘網站上列出了部分受害者,如果不支付贖金,攻擊者將在揭秘網站上洩露盜取得來的數據。
- 如果受害者沒有在最後期限支付贖金,APLHV還會進行分散式阻斷服務攻擊(DDoS)。
- 騷擾受害者的客戶、合作夥伴和員工。
ALPHV勒索軟體在 2022 年初聲名狼藉,針對歐洲的燃料物流和運輸服務運營商以及美國的教育機構進行了一系列大膽的攻擊。
ALPHV自 2021 年 11 月浮出水面以來,一直持續使用名為Exmatter的工具,但於 2022 年 8 月進行了大量更新,使Exmatter更成熟,並具有以下變化:
*洩露的檔案類型為:PDF、DOC、DOCX、XLS、PNG、JPG、JPEG、TXT、BMP、RDP、SQL、MSG、PST、ZIP、RTF、IPT 和 DWG。
*添加 FTP 作為除 SFTP 和 WebDav 之外的滲透選項。
*添加“橡皮擦”功能,可以選擇損壞已處理的檔案
*如果在非有效環境中執行,添加“自毀”配置選項以退出並刪除自身
*刪除對 Socks5 的支援
*添加 GPO 部署選項
除了擴展的功能之外,最新的 Exmatter 版本還進行了大量程式碼重構,以更隱蔽的方式實現現有功能以逃避檢測,ALPHV的操作不斷演變,絕對是值得持續我們關注的勒索軟體。
根據資安公司 Resecurity,ALPHV勒索軟體集團將贖金要求提高到 2 至 250 萬美元,受害者通常會被要求在一周內付款,然而,贖金的增加並不令人意外,根據 Resecurity 的數據,2021 年上半年的平均贖金支付額達到 570,000 美元,到 2022 年幾乎翻了一倍,儘管主管機關有宣導不支付的贖金,但仍有約一半的受害者確實支付了恢復數據的費用。
有關ALPHV/BlackCat勒索軟體的部分入侵指標(Indicator of compromise -IOCs):
Domain:
sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion
id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion
SHA 256:
f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6
f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89
f837f1cd60e9941aa60f7be50a8f2aaaac380f560db8ee001408f35c1b7a97cb
“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”
