BlackSuit 高级勒索软件策略曝光: 伪装成杀毒软件

安全
与早期版本相比,最新的 BlackSuit 样本的检测率要低得多,这表明威胁行为者在刻意规避安全措施。

在最近发生的一系列中断主要业务的事件中,KADOKAWA 公司经历了延伸到多个网站的服务中断。最初看似技术故障的事件很快升级为由臭名昭著的 BlackSuit 勒索软件组织策划的全面勒索软件攻击。五周前,BlackSuit 声称对此次攻击负责,并发出最后通牒:要么满足他们的赎金要求,要么在 7 月 1 日公开发布被盗信息。

Deep Instinct 威胁实验室的深入分析显示,BlackSuit 的战术和技术发生了巨大演变。该勒索软件现在采用的是先进的混淆方法,包括将其有效载荷伪装成奇虎 360 杀毒软件的合法组件。与早期版本相比,最新的 BlackSuit 样本的检测率要低得多,这表明威胁行为者在刻意规避安全措施。

VirusTotal 检测率

最新的样本包含编码字符串和导入 DLL ,旨在阻止分析工作。强制性 ID 参数绕过了自动仿真,提高了规避能力。最有影响的变化之一是将勒索软件伪装成知名免费杀毒软件奇虎 360 的合法组成部分,这包括虚假水印,大大降低了检测率。伪装文件虽然没有签名,但与奇虎真正的 QHAccount.exe 文件非常相似,从而有效地规避了安全软件。

BlackSuit 还集成了一些高级功能,如用于加密的非对称密钥交换、删除影子副本以禁止轻松恢复,以及禁用安全模式和关闭系统的功能。加密后的文件会添加 .blacksuit 扩展名,并附带赎金说明(通常名为 readme.blacksuit.txt)。

BlackSuit 勒索软件采用了多种初始攻击载体,包括使用窃取凭证的 RDP、VPN 和防火墙漏洞、带宏的 Office 电子邮件附件、torrent 网站、恶意广告和第三方木马。攻击者还利用 CobaltStrike、WinRAR、PUTTY、Rclone、Advanced IP Scanner、Mimikatz 和 GMER 等工具。这种多样化的载体使 BlackSuit 的目标更为广泛,危及大量数据。

BlackSuit 泄密网站上的受害者资料示例

另外,BlackSuit 在暗网上运营着一个新闻和泄密网站,一旦过了赎金的截止日期,他们就会在网站上公布受害者的外泄数据。这些资料包括受影响组织的关键信息,如行业、员工人数、收入和联系方式等。

参考来源:https://securityonline.info/blacksuits-advanced-ransomware-tactics-exposed-masquerades-as-antivirus/

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2017-02-27 16:28:00

2023-08-30 07:19:49

2022-01-06 07:53:39

恶意软件恶意程序网络攻击

2019-01-07 08:07:13

2009-02-16 08:56:54

2009-07-30 09:45:50

假冒杀软病毒感染黑客

2020-03-14 16:40:15

安全病毒黑客

2013-12-12 11:08:24

恶意软件IIS服务器微软

2013-12-12 09:40:22

2009-09-07 22:55:39

2017-04-01 02:36:15

2022-06-05 13:59:01

恶意软件安卓Android

2021-10-29 16:28:48

Android恶意软件网络攻击

2009-06-17 08:28:16

云计算免费杀毒Morro

2022-01-17 15:13:52

恶意软件操作系统

2010-09-01 11:06:17

杀毒软件

2009-04-14 08:30:48

2022-03-17 11:49:55

恶意软件安全工具钓鱼攻击

2017-03-19 17:52:11

2021-03-29 12:03:33

间谍软件恶意软件攻击
点赞
收藏

51CTO技术栈公众号