新的BlackCat勒索病毒分析发布，泄漏网站关闭 媒体

ALPHV/BlackCat 勒索软件团伙或将退出运营

重点总结

ALPHV/BlackCat 勒索软件团伙被传将退出运营，相关的操作可能是一个骗局。Trustwave SpiderLabs 发布了对 BlackCat 勒索软件的新技术分析，揭示了其隐蔽特性和远程访问技术的使用。尽管该团伙声称因执法压力而关闭，安全专家认为此举可能是一次退出骗局。新版本的 BlackCat 勒索软件实施了一些严密的安全措施，增强了其隐蔽性和攻击能力。

随着 ALPHV/BlackCat 勒索软件团伙的消息称其将在一次可能的退出骗局中关闭运营，研究人员发布了该勒索软件二进制文件的新技术分析。

Trustwave SpiderLabs 于周三发布的报告深入探讨了该团伙自去年 December 被 FBI 首次打击后重新崛起以来，在部署 BlackCat 勒索软件过程中所使用的远程访问和隐蔽策略。

ALPHV/BlackCat 的泄露网站在周五第二次关闭，现已更换为 FBI 的查封通知，但安全专家表示该通知很可能是虚假的。

检查该网站发现，查封横幅是从一个存档中提取的，尽管其页面上出现了 Europol 和国家犯罪局 (NCA) 的标志，但这两个机构对此次查封并没有涉及，BleepingComputer 报道。

旋风加速官网

该网络团伙的操作员声称由于执法干涉，他们计划停止运营，并以 500 万美元的价格出售 BlackCat 勒索软件的源代码但这一举动恰逢其被指控从一个自己的附属机构中盗取了 2200 万美元的赎金后，声称对Change Healthcare 的攻击负责。这使得该团伙的行为遭到许多人标记为“退出骗局”。

“基于我们的经验，我们认为 BlackCat 宣称因执法压力而关闭的说法是一场骗局。我们预计他们会在违约调整后以新的身份或品牌卷土重来，”Trustwave 的首席威胁猎人 Reegun Jayapaul 在给 SC Media 的邮件中表示。“这一策略为他们在重新出现时，提供了最后一次显著的诈骗机会。”

无论 ALPHV/BlackCat 是以不同的名称返回，还是其勒索软件即服务 (RaaS) 版本被出售并带入新管理，组织应继续警惕 BlackCat 的勒索软件战术，即便面临这些奇怪的动荡。

“无论 BlackCat 是否出售其源代码，威胁行为者总是会不断磨练和发展他们的技术，”Trustwave SpiderLabs 威胁猎队的全球总监 Shawn Kanady 告诉 SC Media。

BlackCat 勒索软件“版本 3”的新隐蔽特性

Trustwave 研究人员研究的 BlackCat 变种比以前的版本更隐蔽，因为执行勒索软件二进制文件需要一个独特的 64 字符十六进制访问令牌。这使得研究人员通过传统手段下载恶意软件样本并研究代码的难度大大增加，Kanady 在邮件中表示。

“我们能够从一个被感染的机器上提取这个版本。这为我们提供了关于其部署和能力的良好洞察，”Kanady 表示。“这与其他版本的关键区别在于对访问令牌的严格要求。每个令牌都是独特的，恶意软件只会在拥有该令牌的情况下执行。”

Trustwave 指出，BlackCat 使用两种合法的远程访问软件Total Software Deployment 和 ScreenConnect悄然建立了感染系统的后门。这与上周 CISA、FBI 和 HHS 发布的联合警告，强调该