[台湾产经新闻分享]Sophos 发现 BlackCat 使用了新攻击工具 Brute Ratel

Sophos 是新一代网路安全领域的全球领导者， 今天发表最新文章《BlackCat 勒索软体攻击不仅仅是运气不好的副产品》，揭露勒索软体攻击者在攻击工具库中新增了渗透测试工具 Brute Ratel。该文章详细介绍了一系列勒索软体攻击，其中 BlackCat 使用未修补或过时的防火墙和 VPN 服务渗透到全球各个行业的易受攻击的网路和系统。

BlackCat 勒索软体于 2021 年 11 月首次出现，自称是勒索软体即服务的最新「领导者」，并因其使用了不常见的编码语言 Rust 迅速引起了人们的注意。

早在 2021 年 12 月，被锁定的企业就致电 Sophos Rapid Response 调查至少五起涉及 BlackCat 的攻击。在其中四起事件中，最初的感染是经由不同防火墙厂商产品中的漏洞而进行的。其中一个漏洞来自 2018 年，另一个漏洞于去年出现。一旦进入网路，攻击者就能够取得储存在这些防火墙上的 VPN 凭证，以便以授权使用者身分登入，然后利用远端桌面通讯协定 (RDP) 在整个系统中横向移动。

从之前的 BlackCat 事件中可以看出，攻击者还会利用开放原始码和商用工具来建立额外的后门和替代路径，以从远端使用被锁定的系统。这些工具包括 TeamViewer、nGrok、Cobalt Strike 和 Brute Ratel。

Sophos 威胁研究资深经理 Christopher Budd 表示：「我们最近在 BlackCat 和其他攻击中看到的是，威胁行为者的工作非常有效率和有效。他们使用久经考验的方法，例如攻击易受攻击的防火墙和 VPN，因为他们知道这些方法仍然有效。但他们亦使用新手法来避免安全防御机制，例如在攻击中改用了较新的后渗透攻击 C2 架构 Brute Ratel。」

这些攻击没有明确的模式；它们发生在美国、欧洲和亚洲不同行业领域的大型公司中。不过，遭锁定的公司确实存在某些让攻击者更容易得手的环境漏洞，包括无法再更新的过时系统、VPN 缺乏多因素验证，以及架构扁平的网路 (每台电脑都可以看到网路中的其他电脑)。  

Christopher Budd 补充：「所有这些攻击的共同特点是它们很容易发动。在一个实际案例中，同样的 BlackCat 攻击者在发动勒索软体攻击的前一个月就先安装了加密挖矿程式。这次最新研究再次强调出遵循已确立的最佳安全作法的重要性，因为它们仍然足以预防和阻止攻击，包括针对单一网路的多次攻击。」

若要了解 BlackCat 攻击的更多信息，请参见 Sophos.com 上的《BlackCat 勒索软体攻击不仅仅是运气不好的副产品》。

Sophos 专家还整理了一份nGrok 事件回应指南，以帮助安全团队防止攻击者在网路上滥用 nGrok 工具。

原文连结：https://news.sina.com.tw/article/20220715/42208476.html