新的研究称,在最近的一连串攻击之后,臭名昭著的BlackCat勒索软件可能会变得更加恶劣。Sophos的一份报告称,勒索软件背后的威胁行为者现在似乎已将BruteRatel工具添加到他们的武器库中,使该工具变得更加危险。
BruteRatel是一种渗透测试和攻击模拟工具,与CobaltStrike类似但鲜为人知。
“我们最近在BlackCat和其他攻击中看到的是,威胁参与者的工作非常高效和有效。他们使用久经考验的方法,例如攻击易受攻击的防火墙和VPN,因为他们知道这些方法仍然有效。但他们展示了避免安全防御的创新,例如在他们的攻击中切换到更新的后利用C2框架BruteRatel,”说(在新标签中打开)Sophos威胁研究高级经理ChristopherBudd。
BruteRatel并不是唯一使用的工具,因为在分析之前的事件时,观察到BlackCat使用其他开源和商业可用的工具来创建额外的后门和其他远程访问替代方案,例如TeamViewer或nGrok。显然,CobaltStrike也被使用了。
通常,BlackCat运营商会寻找过时的防火墙(在新标签中打开)和未打补丁的VPN服务,作为它们的初始入口点。自2021年12月以来,他们通过利用防火墙中的漏洞成功地渗透了至少四个组织。
一旦他们获得网络访问权限,他们将使用防火墙提取凭据,并在整个系统中自由横向移动。
攻击的唯一先决条件是业务运行在已报废的系统上,没有多因素身份验证或VPN,并且使用扁平网络(每个端点都可以看到网络上的所有其他端点))。
“所有这些攻击的共同点是它们很容易实施。在一个例子中,同样的BlackCat攻击者在启动勒索软件前一个月安装了加密矿工。这项最新研究强调了遵循既定最佳安全实践的重要性;他们仍然有很大的能力来预防和阻止攻击,包括针对单个网络的多次攻击。”