ALPHV Blackcat 勒索病毒

風險等級: 高度威脅
摘 要: 病毒通告:ALPHV Blackcat 勒索病毒
解決辦法: 1.使用 FIDO/WebAuthn 驗證或基於公鑰基礎架構 (PKI) 的 MFA(多因素驗證)
2.使用網絡監控工具,辨識、檢測並調查勒索軟體相關的異常活動
3.對使用者實施有關社交工程和網路釣魚攻擊的培訓
4.實施內部郵件和訊息監控
5.使用安全工具
6.安裝和保持更新防毒軟體
細節描述: 該勒索軟體ALPHV Blackcat 附屬公司使用先進的社會工程技術和對公司的開源研究來獲得初始訪問權限。攻擊者冒充公司 IT 和/或幫助台工作人員,並使用電話或簡訊 從員工處取得憑證以存取目標網路 。ALPHV Blackcat 附屬機構使用統一資源定位器 (URL) 與受害者進行即時聊天,傳達需求並啟動恢復受害者加密檔案的流程。在獲得受害者網路的存取權後,ALPHV Blackcat 分公司會部署AnyDesk、Mega sync 和 Splashtop 等遠端存取軟體,為資料外洩做好準備。在獲得網路存取權限後,ALPHV Blackcat 附屬公司使用合法的遠端存取和隧道工具,例如 Plink 和 Ngrok 。ALPHV  Blackcat 附屬公司聲稱使用 Brute Ratel C4 和 Cobalt Strike 作為命令和控制伺服器的信標。ALPHV Blackcat 附屬公司使用開源中間對手攻擊 框架 Evilginx2,該框架允許他們獲取多重身份驗證 (MFA) 憑證、登入憑證和會話 cookie。攻擊者也從網域控制站、本機網路和已刪除的備份伺服器取得密碼,以便在整個網路中橫向移動。

為了逃避檢測,附屬機構使用 Metasploit 等列入許可名單的應用程式。一旦安裝在網域控制站上,交換伺服器上的日誌就會被清除。然後 Mega.nz 或 Dropbox 用於移動、竊取和/或下載受害者資料。然後部署勒索軟體,並將勒索訊息嵌入為 file.txt。根據公開報道,附屬公司也使用 POORTRY 和 STONESTOP 來終止安全流程。

一些 ALPHV Blackcat 附屬機構在獲得存取權限後會竊取數據,並在不部署勒索軟體的情況下勒索受害者。在洩漏和/或加密資料後,ALPHV Blackcat 附屬公司透過 TOR、Tox、電子郵件或加密應用程式與受害者進行通訊。然後,威脅行為者從受害者的系統中刪除受害者資料。
ALPHV Blackcat 附屬公司主動提供網路補救建議作為付款激勵,向受害者提供“漏洞報告”和“安全建議”,詳細說明他們如何滲透系統以及如何防止未來在收到贖金後再次受害。

參考資訊: US-cert

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *