在網路犯罪的陰暗世界中,BlackCat 勒索軟體已演變成可怕而複雜的威脅。繼續閱讀以了解有關 BlackCat 勒索軟體的內部運作方式以及防範方式的更多資訊。
什麼是 BlackCat 勒索軟體?
BlackCat(也稱為 ALPHV 或 ALPHV-ng)自 2021 年 11 月出現以來已成為重大的勒索軟體威脅。該勒索軟體以勒索軟體即服務(RaaS)的形式運作,且被視為最複雜的 RaaS 操作之一。BlackCat 因其使用 Rust 程式語言和令人生畏的「三重勒索」策略而與眾不同。
BlackCat 勒索軟體的原理為何?
BlackCat 勒索軟體為惡意軟體,並透過非常規方式使用 Rust 程式語言而與眾不同。其能適應廣泛的目標裝置和潛在漏洞,並通常會配合既有的威脅活動。BlackCat 最邪惡之處在於其毫不留情的手段,對受害者的資料進行加密、洩露並採用「三重勒索」策略。三重勒索不僅會威脅不付贖金就暴露被盜的資料,未滿足贖金要求時也可能進行分散式拒絕服務 (DDoS)攻擊。
BlackCat 作為勒索軟體即服務(RaaS)的商業模式讓其他網路犯罪者能使用其勒索軟體、開展自己的活動並獲取相當大的收入,超過產業平均 70%。BlackCat 透過其廣泛的客製化選項讓其更具吸引力,讓不具足夠經驗的次等團體也能夠對企業實體策劃複雜的攻擊。BlackCat 通常會要求高達數百萬美元的贖金,提前付款可能會有折扣,機構團體在考慮支付贖金錢應謹慎行事,因為支付贖金可能無意中資助了犯罪活動,且並無法保證檔案能順利恢復。
通常,BlackCat 犯罪者會要求使用比特幣等加密貨幣付款,以換取解密金鑰。此外,他們還會向受害者顯示螢幕訊息,指示如何交付贖金以換取解密金鑰,進一步加劇勒索活動的所造成的壓力。
BlackCat 勒索軟體如何傳播?
BlackCat 的主要攻擊媒介包括受感染的電子郵件和惡意網站連結,引誘毫無戒心的使用者落入其陷阱。入侵後,BlackCat 的病毒功能就會在整個系統中快速且廣泛擴散。
BlackCat 與其他勒索軟體的區別在於其使用 Rust 程式語言。Rust 以其卓越的特色而聞名,包括速度、穩定性、絕佳的記憶體管理以及規避現有偵測方法的能力,因此成為網路犯罪者手中的強大工具。值得注意的是,BlackCat 的適應性也延伸到了 Linux 等非 Windows 而通常較少會面臨惡意軟體威脅的平台,並為負責應對威脅的 Linux 管理員帶來了獨特的挑戰。
JSON 設定檔中顯示出 BlackCat 的靈活性,其允許使用者在四種不同的加密演算法中進行選擇,自訂勒索記錄,指定檔案、資料夾和擴充功能,並定義結束流程,進而確保無縫的加密過程。此外,BlackCat 的可配置性也延伸至域憑證的使用,增強了其傳播到其他系統的能力。
BlackCat 也超越了暗網的範圍,在公共網路上建立了資料外洩網站。雖然其他團體通常在暗網上經營此類網站,以證明資料已受到洩露並逼迫受害者支付贖金,但BlackCat 則透過公共網站來向更廣泛的受眾(包括當前和潛在的客戶、股東和記者)公開而改變遊戲規則。
BlackCat 勒索軟體的常見受害者
BlackCat 勒索軟體與著名的大型獵物勒索軟體威脅的手法一致,其常見受害者是規模較大的組織,並會經過策略性選擇來挑選,以提高可獲得的潛在贖金。多個報告指出,其要求的贖金差異很大,從數十萬美元到數百萬美元不等,但都需以加密貨幣支付。
雖然受害者的確切人數仍不確定,但 BlackCat 的威脅性從該組織的 Tor 洩漏網站上發現的 20 多個目標組織中可見一斑。其受害者遍佈各個產業和國家,包括澳洲、巴哈馬、法國、德國、義大利、荷蘭、菲律賓、西班牙、英國和美國。受到影響的產業涵蓋廣泛,從商業服務、建築和能源到時尚、金融、物流、製造、製藥、零售和科技業。
BlackCat 勒索軟體攻擊例子
2023 年 11 月 – Heny Schein
2023 年 11 月,BlackCat 勒索軟體針對財富 500 強醫療機構 Henry Schein 發動攻擊。據報道,該勒索軟體團夥又名 ALPHV,聲稱竊取了 35TB 的資料,並開始與 Henry Schein 進行談判。起初,該公司收到了解密金鑰並開始恢復其系統,但當談判破裂後,該團夥再次加密了所有內容。局勢隨著該團體威脅要公開內部資料而不斷升級,但後來他們在網站刪除了相關資料,暗示可能已達成協議。該次攻擊在資料受到線上公開前兩週發生,導致 Henry Schein 的營運暫時中斷。該公司採取了預防措施,向警方通報了該事件,並聘請了法院專家進行調查。
2023 年 8 月 - 精工集團公司
精工集團公司確認 BlackCat 勒索軟體集團於 2023 年 8 月造成其 60,000 筆內容的資料洩露。受影響的資料包括客戶記錄、業務交易聯絡人、求職者詳細資訊和人事資訊。還好信用卡資料仍然安全。對此,精工採取了一系列安全措施,例如阻止外部伺服器通訊、部署 EDR 系統以及實施多重身份驗證。精工確認會計劃與網路安全專家合作,以提高安全性並防止未來發生類似事件。
如何防範 BlackCat 勒索軟體攻擊
保護您的系統和資料避免 BlackCat 勒索軟體的侵害與阻止其他勒索軟體所採用的保護措施類似。保護措施包括:
員工教育:
教育員工應對 BlackCat 勒索軟體和其他惡意軟體威脅具有幾個關鍵要點:
- 培訓應包括分辨網路釣魚電子郵件,因其為勒索軟體的常見散播方式。
- 網路釣魚電子郵件通常會假冒銀行或物流公司等信譽良好的業者,其中可能包含會安裝勒索軟體的惡意附件或連結。
- 謹慎處理來自未知寄件者的電子郵件並避免未經授權的下載。
- 員工應保持軟體和防毒程式的更新,並了解如何向 IT 或安全人員通報可疑活動。
- 定期的安全意識培訓能使員工充分了解最新的勒索軟體威脅和預防的最佳實踐方式,進而降低 BlackCat 勒索軟體和其他網路安全危害的風險。
資料加密和存取控制:
保護敏感資料是抵禦 BlackCat 勒索軟體和類似威脅的強大防禦方式。加密和存取控制能顯著降低 BlackCat 勒索軟體感染的風險和其攻擊成功時所造成的潛在影響:
- 加密能將資料轉換為沒有相應解密金鑰時幾乎無法破解的代碼。
- 即使勒索軟體成功滲透系統並能存取加密訊息,資料也能受到加密保護。
- 重要資料,財務記錄、個人資訊和重要的業務檔案,都應受到加密。
- 可以使用的加密工具很多,例如適用 Windows 的 BitLocker 或適用 Mac 的 FileVault,或第三方加密軟體。
- 存取控制能限制資料的存取,其根據工作職務內容要求進行使用者身份驗證和授權流程以及高強度的密碼。
- 即使威脅者獲得了對加密資料的存取權限,但因為沒有解密金鑰而仍然無法存取資料,因此解密金鑰應與加密資料分開安全儲存。
資料備份:
定期的資料備份是應對 BlackCat 勒索軟體和類似惡意軟體最有效的防禦措施之一:
- 資料備份包括為重要檔案建立副本並將其分開獨立儲存,例如:外部硬碟、雲端儲存空間或其他的電腦。
- 在受到 BlackCat 勒索軟體感染時就能刪除受影響的檔案,並且能使用備份來復原資料,進而無需支付贖金或受到永遠失去檔案的風險。
- 重要的是,備份需儲存在與主電腦或網路隔離的地點,以防止一併受到影響。建議的儲存方式包括實際上分開的地點或具有強大安全性和加密協定且信譽良好的雲端儲存服務。
軟體更新:
定期更新軟體能抵禦 BlackCat 勒索軟體和相關惡意軟體:
- 更新通常會安裝安全性修補程式,消除勒索軟體攻擊者可利用的漏洞,因軟體供應商在發現漏洞後會發布更新以防止受到利用。
- 更新內容通常包括安全性修補程式、錯誤修復和新功能。忽略更新可能會讓系統容易受到攻擊。
- 攻擊者通常會針對久未更新的軟體,例如作業系統、網路瀏覽器或外掛程式。定期安裝更新能提升安全性,並讓攻擊者難以利用漏洞。
- 自動化修補程式管理軟體進一步簡化更新過程,實現安裝自動化、在非運行時間內安排更新,並提供系統更新的相關詳細狀態報告。定期更新並搭配自動修補程式管理能降低 BlackCat 勒索軟體感染和其他網路威脅的風險。
使用網路安全工具:
雖然實施上述措施能大幅增強對 BlackCat 勒索軟體的防禦力,但使用專門的網路安全產品來進行補強也非常重要。舉例來說:
- 卡巴斯基專業版提供能抵禦勒索軟體等各種網路威脅的全面保護,並具有即時威脅偵測、進階防火牆和自動更新功能,實現持續性的安全。
- 卡巴斯基 VPN 藉由加密網路連線並透過安全伺服器進行路由來增強線上安全性,是保護資料的理想選擇,尤其是在使用公共 Wi-Fi 網路時。
- 為了增強抵禦勒索軟體能力,卡巴斯基密碼管理器能為線上帳戶安全儲存和產生高強度且獨特的密碼,進而降低密碼強度不足或重複使用密碼而造成洩露的風險。
總而言之,隨著威脅不斷演變,強大的網路安全實務並搭配最先進的工具永遠不嫌少。整體實施員工教育、資料加密、存取控制、定期資料備份和軟體更新並使用網路安全產品,就能最大程度提升線上安全性,並幫助抵禦 BlackCat 勒索軟體和其他惡意威脅。
BlackCat 勒索軟體的常見問與答
什麼是 BlackCat 勒索軟體?
BlackCat,也稱為 ALPHV 或 ALPHV-ng,於 2021 年 11 月出現,此後已成為主要的勒索軟體威脅。BlackCat 被用作勒索軟體即服務(RaaS),被認為是迄今為止最先進的 RaaS 手法。BlackCat 以其使用 Rust 程式語言和強大的「三重勒索」方法而聞名。
BlackCat 勒索軟體的受害者有哪些?
BlackCat 策略性針對大型組織並要求支付巨額贖金,金額大小不一,通常是數十萬到數百萬美元的加密貨幣。該組織的 Tor 洩漏網站上已能看到 20 多個受害者組織,來自世界各地多個國家,目標產業包括商業服務、建築、能源、時尚、金融、物流、製造、製藥、零售和科技。
相關產品: