>首页> IT >

勒索软件BlackCat变体被关联,因使用了同一自定义渗透工具

时间:2022-04-11 08:45:38       来源:腾讯网

最近的网络安全研究中,研究人员发现了 BlackCat 勒索软件和 BlackMatter 勒索软件之间的进一步联系,至少新BlackCat小组的一些成员与 BlackMatter小组有联系,因为他们修改并重复使用了一个自定义的渗透工具,而且只在 BlackMatter 活动中观察到了这种工具。

根据中国网络安全行业门户”极牛网”GeekNB.com的梳理,该工具被称为 Fendr,不仅已升级为包含更多文件类型,而且还被该团伙广泛用于在 2021 年 12 月和 2022 年 1 月加密之前从公司网络窃取数据,这是一种称为双重勒索的流行策略。

BlackCat 脱颖而出的原因有两个:它是过去部署 BlackMatter 的附属攻击者,其恶意软件是用 Rust 编写的,这表明威胁攻击者如何越来越多地转向具有交叉编译功能的编程语言。

安全研究人员指出,该组织提供基础设施、恶意软件样本、赎金谈判以及可能的套现,任何已经进入受感染环境的人都可以使用 BlackCat 的样本来感染目标。

执行后,恶意软件会从注册表中获取 Windows 系统的MachineGuid(操作系统安装期间生成的唯一密钥)及其 UUID,然后继续绕过用户帐户控制 ( UAC )、删除影子备份并启动加密过程。

这种修改后的 Fendr(也称为 ExMatter)的使用代表了将 BlackCat 与过去的 BlackMatter 活动联系起来的新数据点。对这种重用工具的修改展示了一种更复杂的规划和开发方案,可以使需求适应目标环境,这是成熟犯罪团伙的特征。

关键词: 勒索软件BlackCat变体被关联 因使用了同一自定义渗透工具