BlackCat 勒索软件的数据泄露工具得到升级

BlackCat 勒索软件（又名 ALPHV）没有任何放缓的迹象，其演变的最新例子是用于双重勒索攻击的该团伙数据泄露工具的新版本。

BlackCat 被认为是  Darkside 和 BlackMatter 的继任者，是最复杂和技术最先进的勒索软件即服务 (RaaS) 操作之一。

赛门铁克的安全研究人员将 BlackCat 跟踪为“Noberus”，他们报告说，第一个基于 Rust 的勒索软件的开发人员不断改进和丰富恶意软件的新功能。

最近，焦点似乎集中在用于从受感染系统中窃取数据的工具上，这是进行双重勒索攻击的基本要求。

该工具名为“Exmatter”，自 BlackCat 于 2021 年 11 月推出以来一直在使用，并于 2022 年 8 月进行了重大更新，具有以下变化：

• 将要泄露的文件类型限制为：PDF、DOC、DOCX、XLS、PNG、JPG、JPEG、TXT、BMP、RDP、SQL、MSG、PST、ZIP、RTF、IPT 和 DWG。
• 除了 SFTP 和 WebDav 之外，还添加 FTP 作为渗透选项。
• 提供选项以构建列出所有已处理文件的报告
• 添加“橡皮擦”功能，提供损坏已处理文件的选项
• 如果在无效环境中执行，添加“自毁”配置选项以退出并删除自身。
• 删除对 Socks5 的支持
• 为 GPO 部署添加选项
  
  

除了扩展的功能之外，最新的 Exmatter 版本还进行了大量的代码重构，更隐蔽地实施现有功能以逃避检测。

BlackCat 信息窃取能力的另一项新功能是部署了一种名为“Eamfo”的新恶意软件，该恶意软件明确针对存储在 Veeam 备份中的凭据。

该软件通常用于将凭据存储到域控制器和云服务，以便勒索软件参与者可以使用它们进行更深入的渗透和横向移动。

Eamfo 连接到 Veeam SQL 数据库并使用以下 SQL 查询窃取备份凭据：

select [user_name],
		

			
输入密码查看隐藏内容
			

				
				
			
		
,[description] FROM [VeeamBackup].[dbo].[Credentials]

提取凭据后，Eamfo 会对其进行解密并将其显示给威胁参与者。

研究人员指出，信息窃取恶意软件过去曾被其他勒索软件团伙使用，包括 Monti、Yanluowang 和 LockBit。

最后，赛门铁克注意到 BlackCat 操作使用了一个旧的反 rootkit 实用程序来终止反病毒进程。

保持领先

2022 年 6 月，BlackCat 引入了对 ARM 架构上的文件加密的支持，以及一种在有或没有网络的情况下在 Windows 安全模式下加密的模式。

当时，该团伙还创建了一个 专门的在线资源 ，人们可以在其中搜索他们被盗的数据，以增加对违规公司的压力。

很明显，BlackCat 不断发展新工具、改进和勒索策略，以使 RaaS 运营更加有效和高效。

赛门铁克报告称，BlackCat 的运营商驱逐了不如他们希望的多产的附属公司，这表明他们寻求与较低级别的 RaaS 计划合作。

研究人员还看到 ，在Conti 勒索软件团伙关闭 其业务 后， 前 Conti 附属公司转移到 BlackCat/ALPHV 。

这次关闭导致大量经验丰富的攻击者涌入，他们能够在新的操作下迅速发起新的攻击。

BlackMatter：用于攻击的新数据泄露工具

博客原文阅读地址：

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/blackmatter-data-exfiltration

原文始发于微信公众号（网络研究院）：BlackCat 勒索软件的数据泄露工具得到升级