BlackCat勒索软件攻击被发现微调其恶意软件库

BlackCat勒索软件的机组人员被发现微调他们的恶意软件武器库，以便在雷达下飞行并扩大其范围。

赛门铁克的研究人员在一份新的报告中说："其中一些更引人注目的发展是使用新版本的Exmatter数据过滤工具，以及使用Eamfo，旨在窃取Veeam备份软件存储的凭据的信息窃取恶意软件。

BlackCat，也被称为ALPHV和Noberus，被认为是一个被追踪为Coreid (又名FIN7、Carbanak或Carbon Spider)的对手，据说是DarkSide和BlackMatter的更名后继者。

与其他臭名昭著的勒索软件集团一样，威胁行为体也被称为"勒索软件即服务" ( ransomware-as-a-service，RaaS )运营，其核心开发人员利用分支机构的帮助实施攻击，以换取非法收益的削减。

 ALPHV也是最早在Rust中被编程的勒索软件菌株之一，这一趋势自最近几个月以来被Hive和Luna等其他家族采用来开发和分发跨平台恶意软件。

该集团的策略、工具和程序( TTP )的演变是在网络犯罪团伙被发现利用未修补的微软Exchange服务器作为部署赎金的管道后三个多月。

其工具集的后续更新包含了新的加密功能，使恶意软件能够以安全模式重新启动受影响的Windows机器，以绕过安全保护。

研究人员说，在2022年7月的更新中，该小组增加了对被盗数据的索引- -这意味着它的数据泄漏网站可以通过关键词、文件类型等进行搜索。

最新的改进涉及Exmatter，这是BlackCat在勒索软件攻击中使用的数据过滤工具。除了仅使用特定的扩展集来获取文件之外，更新后的版本还会生成所有已处理文件的报告，甚至会损坏文件。

在攻击中还部署了一个名为Eamfo的信息窃取恶意软件，该恶意软件旨在虹吸存储在Veeam备份软件中的凭据，并促进权限提升和横向移动。

研究结果再次表明，勒索软件集团善于不断调整和完善其操作，以尽可能长时间地保持有效。

研究人员说，它的不断发展也突显了该群体对数据盗窃和勒索的关注，以及这种攻击元素对勒索软件行为者的重要性。

BlackCat最近也被观察到使用Emotet恶意软件作为最初的感染载体，更不用说在今年退出威胁景观后，现在已经倒闭的Conti赎金组的新成员涌入。

康蒂的日落方向也伴随着被称为"蒙蒂" ( Monti )的新的赎金家族的出现，"二重身"团伙被发现故意公然冒充康蒂团队的TTP及其工具。

BlackCat在其攻击中添加了修改后的工具列表的消息来自与LockBit 3.0 ( aka LockBit黑色)文件加密恶意软件相关的开发人员，据称该恶意软件泄露了用于创建定制版本的构建器，这引起了人们的担忧，因为它可能导致其他技能较低的行为者更广泛地滥用。

不仅仅是Lockbit。近两年来，巴布克和康蒂勒索软件集团也遭遇了类似的违约行为，有效降低了进入壁垒，使恶意行为体能够迅速发动自己的攻击。