什么是Blackcat勒索软件，以及如何防御它？

网络攻击是一种有意和恶意的企图，通过现有的漏洞未经授权地访问计算机系统或网络。这可以用来窃取敏感信息并破坏正常运作。

近年来，勒索软件已成为网络犯罪分子的首选之一。勒索软件通常通过钓鱼邮件、驱动程序下载、盗版软件和远程桌面协议等方式传播。

一旦计算机感染了勒索软件，勒索软件将对计算机中的关键文件进行加密。黑客随后要求付款以恢复加密的数据。

网络攻击可能危及一个国家的国家安全，瘫痪一个经济关键领域的运作，并造成巨大的损害和严重的经济损失。这正是WannaCry勒索软件网络攻击所发生的情况。

2017年5月12日，来自朝鲜的勒索软件传播到全球，并在不到两天的时间内在150个国家的200,000多台计算机系统中感染。WannaCry主要针对运行Windows操作系统的计算机系统。它利用操作系统的服务器消息块协议中的漏洞。

这次攻击的最大受害者之一是英国国家医疗服务体系（NHS）。他们的超过70,000台设备，包括计算机、手术室、诊断设备和MRI扫描仪，都被感染了。医生无法访问他们需要处理患者的系统或病历。这次攻击给NHS造成了巨大的损失。

事情可能会变得更糟，尤其是随着新的更危险的勒索软件如BlackCat的出现。

BlackCat勒索软件

BlackCat勒索软件，开发者称之为ALPHV，是一种恶意软件，一旦感染系统，就会窃取和加密受影响系统中的数据。窃取是指复制和转移存储在系统中的数据。一旦BlackCat窃取并加密了关键数据，就会要求以加密货币支付赎金。BlackCat的受害者需要支付所要求的赎金才能恢复对其数据的访问。

BlackCat并不是普通的勒索软件。BlackCat是第一个成功使用Rust编写的勒索软件，而其他勒索软件通常使用C、C++、C#、Java或Python编写。此外，BlackCat还是第一个勒索软件家族在公开网络上拥有网站的勒索软件，他们在该网站上泄露了从攻击中窃取的信息。

与其他勒索软件的一个关键区别是BlackCat作为勒索软件即服务（RaaS）运作。RaaS是一种网络犯罪商业模式，勒索软件的开发者将其勒索软件作为服务租赁或销售给其他个人或团体。

在这种模式下，勒索软件的开发者为其他人提供分发和执行勒索软件攻击所需的所有工具和基础设施。作为回报，他们从勒索款项中获得一部分利润。

这解释了为什么BlackCat主要针对组织和企业，因为它们通常更愿意支付赎金，而个人则相对较少。组织和企业也支付更高的赎金。在网络威胁行为中，人类的指导和决策被称为网络威胁行为者（CTA）。

为了迫使受害者支付赎金，BlackCat使用“三重勒索技术”。这涉及复制和转移受害者的数据，并加密其系统上的数据。然后要求受害者支付赎金以访问其加密数据。如果未能支付，他们的数据将被泄露给公众，或者对其系统发起拒绝服务（DOS）攻击。

最后，被数据泄露影响的人会被联系并告知他们的数据将被泄露。这些通常是客户，员工和其他公司合作伙伴。这是为了向受害组织施加压力，迫使他们支付赎金以避免因数据泄露而导致的声誉损失和诉讼。

黑猫勒索软件的工作原理

根据FBI发布的一份快讯，黑猫勒索软件使用先前被攻破的用户凭证来获取系统访问权限。

成功进入系统后，黑猫使用其所拥有的访问权限来攻击存储在active directory中的用户和管理员帐户。这使其能够使用Windows任务计划程序配置恶意组策略对象（GPO），从而使黑猫能够在系统中部署其勒索软件到encrypt files。

在黑猫攻击期间，使用PowerShell脚本与Cobalt Strike一起禁用受害者网络中的安全功能。然后，黑猫从存储位置窃取受害者的数据，包括来自云提供商的数据。完成此操作后，指导攻击的网络威胁行为者将黑猫勒索软件部署到受害者系统中以加密数据。

受害者随后会收到一份勒索信息，告知他们的系统遭受了攻击，并且重要文件已经被加密。勒索信息还提供了付款指南。

为什么黑猫勒索软件比普通勒索软件更危险？

从多个方面来看，黑猫相比普通勒索软件更加危险：

它是用Rust编写的

Rust是一种快速，安全且具有改进性能和高效内存管理的编程语言。通过使用Rust，黑猫获得了所有这些优势，使其成为一种非常复杂和高效的勒索软件，具有快速加密的能力。它还使黑猫难以被reverse engineering。Rust是一种跨平台语言，允许网络威胁行为者轻松定制黑猫以针对不同的操作系统，如Windows和Linux，从而扩大潜在受害者的范围。

它使用RaaS业务模式

黑猫利用勒索软件作为服务（RaaS）模型，许多网络威胁行为者可以在不必知道如何创建勒索软件的情况下部署复杂的勒索软件。黑猫为网络威胁行为者做所有繁重的工作，他们只需要将其部署在一个有漏洞的系统中。这使得对易受攻击系统的复杂勒索软件攻击对于有意利用易受攻击系统的网络威胁行为者而言变得容易。

它为合作伙伴提供巨额支付

由于黑猫采用了RaaS模型，创建者通过从部署黑猫的网络威胁行为者的勒索款项中抽成而赚钱。与其他RaaS家族通常从网络威胁行为者的勒索款项中抽取高达30%不同，黑猫允许网络威胁行为者保留80%至90%的赎金。这增加了黑猫对网络威胁行为者的吸引力，使其能够获得更多愿意在网络攻击中部署黑猫的合作伙伴。

它在明网上有一个泄漏站点

与其他在暗网上泄漏被盗信息的勒索软件不同，黑猫在明网上泄漏被盗信息。通过在明网上泄漏被盗数据，更多人可以访问这些数据，增加了网络攻击的影响，并给受害者带来更大的压力来支付赎金。

Rust编程语言使得黑猫在攻击中非常有效。通过使用RaaS模型并提供巨额支付，黑猫吸引了更多倾向于在攻击中部署它的网络威胁行为者。

黑猫勒索软件的感染链

黑猫通过使用被攻破的凭证或利用Microsoft Exchange Server的漏洞来获得对系统的初始访问权限。在获得对系统的访问权限后，恶意行为者会关闭系统的安全防御，并收集有关受害者网络的信息并提升其特权。

BlackCat勒索软件然后在网络中横向移动，尽可能多地获取系统访问权限。这在勒索要求过程中非常有用。受攻击系统越多，受害者支付赎金的可能性就越大。

然后，恶意操作者将系统数据外泄以进行勒索。关键数据外泄后，BlackCat有效载荷就会被传送。

恶意操作者使用Rust发布BlackCat。BlackCat首先停止备份、防病毒应用程序、Windows Internet服务和虚拟机等服务。完成后，BlackCat会对系统中的文件进行加密，并篡改系统的背景图像，替换为赎金说明。

BlackCat勒索软件的保护

尽管BlackCat勒索软件被证明比以前遇到的勒索软件更具威胁性，但组织可以通过以下几种方式保护自己免受勒索软件的攻击：

加密关键数据

BlackHat的勒索策略之一是威胁泄露受害者的数据。通过加密关键数据，组织为其数据增加了额外的保护层，从而破坏了BlackHat威胁操作者使用的勒索技术。即使数据泄露，也不会以可读的格式呈现。

定期更新系统

微软的研究发现，在某些情况下，BlackCat利用未修补的交换服务器获取对组织系统的访问权限。软件公司定期发布软件更新，以解决在其系统中发现的漏洞和安全问题。为了安全起见，请尽快安装软件补丁。

在安全位置备份数据

组织应将备份数据作为首要任务，并将数据存储在单独且安全的离线位置。这样，即使关键数据被加密，仍然可以从现有的备份中还原。

实施多因素认证

除了在系统中使用强密码外，还要实施multifactor authentication，在授予对系统的访问权限之前需要多个凭据。可以通过配置系统生成一次性密码并发送到关联的电话号码或电子邮件，以便访问系统时需要使用。

监控网络活动和系统文件

组织应不断监控其网络上的活动，以尽快检测和响应可疑活动。网络上的活动还应由安全专家进行记录和审查，以识别潜在威胁。最后，应建立系统来跟踪系统中文件的访问方式、访问者及其使用方式。

通过加密关键数据、确保系统更新、定期备份数据、实施多因素认证和监视系统中的活动，组织可以提前几步，并防止BlackCat的攻击。

学习资源：勒索软件

要了解有关网络攻击以及如何防止BlackCat等勒索软件的攻击的更多信息，我们建议参加以下课程或阅读下面推荐的书籍：

#1. 安全意识培训

这是一门非常棒的 course，适合所有对互联网安全感兴趣的人。该课程由Certified Information Systems Security Professional（CISSP）Dr. Michael Biocchi提供。

课程涵盖了网络钓鱼、社交工程、数据泄露、密码、安全浏览和个人设备，并提供了有关如何在网络上保持安全的一般提示。该课程定期更新，使用互联网的每个人都能从中受益。

#2. 安全意识培训，员工互联网安全

这个course是为普通互联网用户量身定制的，旨在教育他们有关常常不为人们所知的安全威胁以及如何保护自己免受威胁。

由CISSP认证的信息安全专家Roy Davis提供的课程涵盖了用户和设备的责任、网络钓鱼和其他恶意邮件、社会工程学、数据处理、密码和安全问题、安全浏览、移动设备和勒索软件。完成课程后，您将获得一个完成证书，这足以使您在大多数工作场所遵守数据监管政策。

#3.网络安全：绝对初学者的安全意识培训

这是由Logix Academy的Usman Ashraf提供的Udemy course，他是一个培训和认证初创公司。Usman是CISSP认证，并且拥有计算机网络博士学位以及丰富的行业和教学经验。

本课程深入探讨了社会工程学、密码、安全数据处置、虚拟专用网络（VPN）、恶意软件、勒索软件和安全浏览技巧，并解释了cookie如何用于跟踪人们。该课程非技术性。

#4.揭示勒索软件

这是一本由独立的信息安全顾问和网络安全专家Nihad A. Hassan编写的书籍，教授如何减轻和处理勒索软件攻击，并详细介绍了存在的不同类型的勒索软件、它们的传播策略和恢复方法。

预览	产品	评分	价格
	Ransomware Revealed: A Beginner’s Guide to Protecting and Recovering from Ransomware Attacks		$19.77	Buy on Amazon

该书还介绍了在遭受勒索软件感染时应采取的步骤。这包括如何支付赎金，如何进行备份和恢复受影响的文件，以及如何在线搜索解密工具来解密受感染的文件。它还介绍了组织如何制定勒索软件incident response计划，以最大限度地减少勒索软件的损害并快速恢复正常运营。

#5.勒索软件：了解、预防、恢复

在这本书中，记录未来的高级安全架构师和勒索软件专家Allan Liska回答了所有与勒索软件相关的难题。

未找到产品。

该书为为什么勒索软件在近年来变得普遍、如何阻止勒索软件攻击、恶意行为者使用勒索软件攻击的漏洞以及在遭受勒索软件攻击时如何最小化损害提供了历史背景和指南。此外，该书还回答了一个非常重要的问题：你应该支付赎金吗？这本书为勒索软件提供了一个令人激动的探索。

#6.勒索软件保护手册

对于任何寻求保护自己免受勒索软件侵害的个人或组织来说，这本书是必读的。在这本书中，计算机安全和渗透专家罗杰·A·格里姆斯（Roger A. Grimes）提供了他在这个领域的丰富经验和知识，帮助人们和组织保护自己免受勒索软件的侵害。

预览	产品	评分	价格
	Ransomware Protection Playbook		$17.00	Buy on Amazon

该书为寻求建立强大的勒索软件防御体系的组织提供了可行的蓝图。它还教授如何检测攻击、快速限制损害，并确定是否支付赎金。它还提供了一个行动计划，帮助组织限制严重安全漏洞造成的声誉和财务损失。

最后，它教授如何建立一个安全的网络安全保险和法律保护基础，以减轻对业务和日常生活的干扰。

作者的话

BlackCat是一种革命性的勒索软件，将改变现状。截至2022年3月，BlackCat已成功攻击了60多个组织，并引起了FBI的关注。BlackCat是一个严重的威胁，任何组织都不能忽视。

通过采用现代编程语言和非传统的攻击、加密和勒索手法，BlackCat使安全专家们不得不追赶。然而，对抗这种勒索软件的战争并没有失败。

通过实施本文中介绍的策略，并减少人为错误暴露计算机系统的机会，组织可以保持领先一步，防止BlackCat勒索软件的灾难性攻击。