[电子时报文章分享] Sophos发现BlackCat使用新攻击工具Brute Ratel

Sophos今天发表新文章《BlackCat勒索软体攻击不仅仅是运气不好的副产品》，揭露勒索软体攻击者在攻击工具库中新增了渗透测试工具Brute Ratel。文中详细介绍一系列勒索软体攻击，其中BlackCat使用未修补或过时的防火墙和VPN服务渗透到全球各个产业的易受攻击的网路和系统。

BlackCat勒索软体于2021年11月首次出现，自称是勒索软体即服务的最新「领导者」，并因其使用了不常见的编码语言Rust迅速引起了人们的注意。

早在2021年12月，被锁定的企业就致电Sophos Rapid Response调查至少五起涉及BlackCat的攻击。在其中四起事件中，最初的感染是经由不同防火墙厂商产品中的漏洞而进行的。其中一个漏洞来自2018年，另一个漏洞于2021年出现。一旦进入网路，攻击者就能够取得储存在这些防火墙上的VPN凭证，以便以授权使用者身分登入，然后利用远端桌面通讯协定(RDP)在整个系统中横向移动。

从之前的BlackCat事件中可以看出，攻击者还会利用开放原始码和商用工具来建立额外的后门和替代路径，以从远端使用被锁定的系统。这些工具包括TeamViewer、nGrok、Cobalt Strike和Brute Ratel。

Sophos威胁研究资深经理Christopher Budd表示，最近在BlackCat和其他攻击中看到的是，威胁行为者的工作非常有效率和有效。他们使用久经考验的方法，例如攻击易受攻击的防火墙和VPN，他们知道这些方法仍然有效。但他们亦使用新手法来避免安全防御机制，例如在攻击中改用了较新的后渗透攻击C2架构Brute Ratel。

这些攻击没有明确的模式，发生在美国、欧洲和亚洲不同产业领域的大型公司中。不过，遭锁定的公司确实存在某些让攻击者更容易得手的环境漏洞，包括无法再更新的过时系统、VPN缺乏多因素验证，以及架构扁平的网路。

Christopher Budd补充，所有这些攻击的共同特点是它们很容易发动。在一个实际案例中，同样的BlackCat攻击者在发动勒索软体攻击的前一个月就先安装了加密挖矿程式。这次最新研究再次强调出遵循已确立的最佳安全做法的重要性，因为它们仍然足以预防和阻止攻击，包括针对单一网路的多次攻击。

若要了解BlackCat攻击的更多信息，请至Sophos.com上的《BlackCat勒索软体攻击不仅仅是运气不好的副产品》

原文连结：https://www.digitimes.com.tw/tech/dt/n/shwnws.asp?cnlid=14&id=0000640841_WHJ9UMU534O8L828XJHMT