Rust 是一种类似于 C 和 C++ 的编程语言,但它在代码安全性方面有着其他语言无法比拟的优势。Rust 在处理大量数据时还展现出卓越的性能,支持并发编程,还提供一个非常高效的编译器。
BlackCat 勒索软件,也被称为 Noberus 或 ALPHV 勒索软件,是由一群讲俄语的网络犯罪分子开发的恶意软件。据说,该团伙的数名成员与现已解散的勒索软件团伙 DarkSide 和 BlackMatter 存在某种联系。自 2021 年首次发现以来,BlackCat 已成为活跃度极高的勒索软件之一。一种名为“Sphynx”的新变体被认为具有更高的速度和效率。BlackCat 是采用 Rust 编程语言编写的,相较于其他勒索软件威胁更难以删除。 BlackCat 勒索软件攻击的受害者包括建筑、制造、能源、医疗保健、技术以及零售等行业的企业。
BlackCat 勒索软件是怎样运作的?
利用 BlackCat 的攻击者通过多种方式(包括远程桌面协议、被盗凭据以及交换服务器漏洞)获取对 IT 环境和用户帐户的初始访问权限。某些公司利用 Google 广告推广假冒的常用软件下载链接。当用户不慎点击这些链接时,他们实际上下载的是恶意软件,而非正版的合法软件。一旦恶意软件的攻击载荷渗透进网络中的设备,网络犯罪分子便会利用攻击载荷加密服务器和个人设备上的文件与数据,导致用户无法访问它们。更为严重的是,BlackCat 团伙可能在加密敏感数据之前就已经将其泄露,他们以此作为要挟,声称如果不支付赎金,就会公开这些数据。
BlackCat 与其他形式的勒索软件有何不同?
由于多个关键原因,BlackCat 勒索软件系列与其他类型的 勒索软件 攻击存在差异。
- 勒索软件即服务。BlackCat 采用勒索软件即服务 (RaaS) 模式。在这种模式下, 恶意软件的创建者允许其他团伙使用它,从中抽取一定比例的赎金作为报酬。
- 更高的分成。BlackCat 背后的黑客为使用该软件的犯罪同伙提供 80% 至 90% 的分成,这一比例高于通常的 70% 分成。
- 新的编程语言。BlackCat 是首个使用 Rust 语言编写的勒索软件。Rust 是一种快速、稳定且安全的编程语言,可以在 Windows 和非 Windows 系统(如 Linux 和 VMware 实例中的虚拟机)上运行。截至目前,针对基于 Linux 系统的恶意软件相对较少,因此负责管理 Linux 环境的安全团队可能尚未充分准备好应对这种毁灭性的 网络攻击。由于许多安全解决方案在分析用 Rust 和其他现代编程语言编写的威胁时效率较低,这使得 BlackCat 对于某些安全工具来说更难以识别和抵御。
- 可定制。BlackCat 的操纵者可根据需求定制勒索软件,使其能在不同的操作系统中工作,从而扩大潜在攻击目标的范围。操纵者可以选择不同的加密算法,定制勒索信,指定要忽略的文件,以及选择要终止的特定服务和进程。
- 三重威胁。攻击者在使用 BlackCat 时往往会采取三重勒索手段。他们要求受害者支付赎金以作为解密被感染的文件,不公开被盗数据,以及不发起拒绝服务 (DoS) 或 分布式拒绝服务 (DDoS) 攻击 的条件。
- 公共数据泄露网站。BlackCat 背后的团伙在公开互联网上设立一个网站,用以展示他们成功窃取的数据。此举不仅提高了 BlackCat 勒索软件操作在网络犯罪分子中的曝光度,而且还使受害者更有可能选择屈服于勒索并支付赎金。
BlackCat 勒索软件攻击的迹象是什么?
有若干迹象可能表明勒索软件攻击是由 BlackCat 恶意软件所为。这些攻击指标包括文件哈希签名、命令与控制 IP 地址,以及 FBI 和其他分析机构发布的特定域名。BlackCat 攻击往往会使用独特或定制的勒索信,这些信件中可能会包含一个指向专门 Tor 网站的链接,展示之前被泄露和勒索的数据作为证据。此外,BlackCat 在每个攻击活动中都会给加密文件附加独特且随机的扩展名,并且在包含勒索文件的每个目录中创建一个名为“RECOVER-<random>-NOTES.txt”的文件。
防范 BlackCat 勒索软件攻击的最佳策略是什么?
用来防范其他网络犯罪和勒索软件攻击的方法和控制措施,同样可以有效地抵御 BlackCat 攻击。
- 微分段。通过严格限制对个别 IT 资产或网络子集的访问权限,软件定义的微分段能够防止勒索软件攻击中至关重要的横向移动。
- 安全意识培训。培训员工是防范勒索软件不可或缺的一环。安全意识培训应包括安全习惯最佳做法,以及识别网络钓鱼邮件的各种方法和其他常见的勒索软件分发技术。
- 加密。通过加密,企业可以防止勒索软件攻击者窃取和公开敏感数据。
- 强大的身份和访问控制措施。通过实施强密码和 多重身份验证等技术,企业能够严格限制访问和修改数据的权限,进而降低 BlackCat 勒索软件感染的影响范围。
- 备份。定期备份数据能够使企业在遭遇勒索软件感染时迅速恢复,避免支付赎金或面临文件永久丢失的风险。备份数据必须存储在未连接到计算机或网络的安全位置,以避免这些存储位置受到感染。
- 优化漏洞修补。定期安装更新和安全补丁能够帮助修补硬件、应用程序和 API 中的漏洞,防止攻击者利用这些漏洞进行恶意攻击。
- 持续监控。网络管理员需要持续监控入站和出站流量,以监测可能表明勒索软件感染或其他网络攻击的异常模式。
- 端点安全。端点安全服务能够在设备层面提供保护,从而识别和阻止各类攻击。
- 安全的云服务。当选择云服务提供商时,企业必须确保其安全团队了解云服务中所涉及的安全共享责任模型,并确保提供商遵守业界公认的标准和质量框架,例如 PCI DSS 或 FedRAMP 认证。
- 数据泄露防护 (DLP)。DLP 解决方案能够基于敏感性对数据进行精准分类,并在发生潜在的勒索软件攻击或数据外泄事件时,实时向安全团队发出告警。
常见问题
勒索软件是一种恶意软件。一旦勒索软件被下载到服务器或用户的计算机上,它会立即对设备上的文件进行加密,导致用户除非支付赎金,否则无法访问和使用这些文件。其中,像 REvil 和 WannaCry 这样的勒索软件版本就是一些规模最大、最具破坏性的网络攻击的幕后黑手。勒索软件可能通过伪装成合法但实际上包含恶意软件的电子邮件中的木马文件进行传播。此外,像大型 Meris 僵尸网络这样的 僵尸网络 也可能被用来传播勒索软件或寻找漏洞,为勒索软件团伙提供可乘之机。
勒索软件即服务 (RaaS) 是一种商业模式,其中勒索软件的创建者和操纵者将其软件出租给犯罪同伙或代其他网络犯罪分子发起攻击。这种 RaaS 模式为那些缺乏用以自主开发勒索软件的技术或资源的犯罪分子提供了便利,使他们能够对个人和企业发起破坏性的攻击。
客户为什么选择 Akamai
Akamai 支持并保护网络生活。全球各大优秀公司纷纷选择 Akamai 来打造并提供安全的数字化体验,为数十亿人每天的生活、工作和娱乐提供助力。 Akamai Connected Cloud是一个大规模分布式边缘和 云平台,让应用程序和体验更靠近用户,帮助用户远离威胁。