BlackSuit:Royal/Conti改头换面重出江湖,新型勒索软件以速度、隐蔽性和数据窃取为特征
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
Cybereason的调查显示,BlackSuit勒索软件组织实施了高度协同的三阶段攻击:入侵、数据窃取和加密。攻击者利用Cobalt Strike等技术进行横向移动,窃取敏感数据并删除恢复点,以增加赎金压力。同时,其加密逻辑经过优化,避免加密关键文件。
🎯
关键要点
- Cybereason的调查揭示BlackSuit勒索软件组织实施高度协同的三阶段攻击:入侵、数据窃取和加密。
- BlackSuit被认为是Royal勒索团伙的重组或分支,具有隐蔽性、速度和精准打击能力。
- 攻击模式包括初始入侵、数据窃取和选择性加密,辅以数据删除手段破坏恢复工作。
- 攻击者使用Cobalt Strike进行命令控制和横向移动,初始入侵途径尚不明确。
- BlackSuit采用多种技术实现横向移动,包括PsExec.exe和远程桌面连接。
- 攻击者使用PowerShell命令下载Cobalt Strike信标,并通过重命名文件投递最终载荷。
- 攻击者实施双重勒索策略,先窃取敏感数据再加密文件以增加赎金压力。
- 为破坏系统恢复,攻击者使用vssadmin.exe删除卷影副本,随后执行勒索软件。
- BlackSuit的加密逻辑经过优化,避免加密关键文件以减少业务中断。
❓
延伸问答
BlackSuit勒索软件的攻击模式是什么?
BlackSuit采用三阶段攻击模式:初始入侵、数据窃取和选择性加密,并辅以数据删除手段破坏恢复工作。
BlackSuit与Royal和Conti的关系是什么?
BlackSuit被认为是Royal勒索团伙的重组或分支,具有相似的攻击特征。
攻击者如何实现横向移动?
攻击者使用PsExec.exe、远程桌面连接和其他技术进行横向移动,以保持隐蔽性并进行广泛侦察。
BlackSuit的双重勒索策略是怎样的?
攻击者在加密文件之前先窃取敏感数据,以增加赎金压力,这就是双重勒索策略。
BlackSuit如何破坏系统恢复?
攻击者使用vssadmin.exe删除卷影副本,以破坏系统恢复能力。
BlackSuit的加密逻辑有什么特点?
BlackSuit的加密逻辑经过优化,避免加密关键文件类型,以减少业务中断。
🏷️
标签
➡️
