We use cookies to ensure that we give you the best experience on our website.

Alphv(BlackCat)勒索軟件:如何預防和恢復

Alphv是用Rust編程語言編寫的勒索軟件來加密受害者的數據。它是Ransomware-As-A-Service(RAAS),這意味著每個網絡犯罪組將使用不同的擴展文件並以不同的方式重命名加密數據。贖金票據也是如此,其內容將取決於黑客幫派。勒索軟件由俄羅斯勒索軟件黑貓分發。截至2022年3月,全球至少有60個組織和企業被Alphv感染勒索軟件。保誠保險披露了2024年2月的網絡攻擊,損害了36,000個人的數據,促使對未經授權的網絡訪問進行了調查。儘管該公司與網絡安全公司合作並通知執法​​部門,但尚未確認該事件是否涉及勒索軟件。此違規是歸因於Alphv勒索軟件幫派的系列的一部分,其中包括一個著名的攻擊變革醫療保健,報導表明支付了2200萬美元的贖金。實際上,Alphv(BlackCat)勒索軟件團伙捲入了大量出口騙局中。如報導黑客新聞付款收據後,據稱ALPHV運營商關閉了其分支機構的帳戶。他們在洩漏網站上捏造了一個假扣押通知,這標誌著欺騙分支機構和當局的複雜企圖。

儘管有執法人員的要求,但美國司法部,歐洲刑警組織和英國國家犯罪局等機構拒絕參與。但是,美國司法部向全球500名ALPHV受害者提供了一個免費的解密者。該部門還提供獎勵有關Alphv的任何信息針對美國關鍵基礎設施的黑貓有聯繫的網絡參與者。這種精心製作的計劃吸引了網絡安全專家的注意,他們在出口騙局中強調了對假癲癇發作通知的前所未有的使用。該事件強調了勒索軟件運營商採用的不斷發展的策略,以逃避檢測並最大化非法收益。儘管騙局取得了成功,但專家們期望該小組在臨時休假後以新的幌子或品牌的最終回報。隨著執法機構繼續調查這一事件,此案明顯地提醒人們勒索軟件的持續威脅以及在數字景觀中打擊網絡犯罪活動的持續努力。

Alphv,也稱為BlackCat,是勒索軟件 - 一種惡意軟件,可以加密和鎖定受害者的文件,然後請求贖金以換取解密密鑰。它還驅除了受害者的數據,並威脅要以一種稱為雙重勒索的策略洩露它。 Alphv勒索軟件是具有全球分支機構的勒索軟件即服務(RAAS)。除了威脅外,黑貓勒索軟件還可以導致DDOS攻擊,這將阻止用戶通過多個請求將其超載訪問其服務器。

ALPHV概述

您可以通過計算機或網絡上的一些症狀和標誌來識別ALPHV。一旦您意識到自己是網絡攻擊的受害者,請立即與地方當局聯繫。確認的名稱

  • Alphv(黑貓)病毒

威脅類型

  • 勒索軟件
  • 加密病毒
  • 文件儲物櫃

加密文件擴展名

  • 取決於變體

贖金要求消息

  • 將其返回 - [file_extension] -files.txt

有免費解密者嗎?

Windows檢測名稱

  • avastWin32:Ransomx-Gen [Ransom]
  • 比特德人gen:variant.barys.331754
  • EmsisoftGen:變體。
  • 卡巴斯基trojan-ransom.win32.blackcat.bn
  • 微軟贖金:win32/blackcat.a
  • sophosmal/blackcat-a

Linux檢測名稱

  • avastELF:FileCoder-DP [TRJ]
  • 比特德人generic.ransom.esxiargs.d.e70d3ae7
  • sophoslinux/ransm-u

症狀

  • 無法打開存儲在計算機上的文件
  • 新文件擴展
  • 桌面上的贖金需求消息

勒索軟件家族,類型和變體

  • Alphv勒索軟件家族
  • RAAS類型
  • BlackCat勒索軟件,Alphv,Alphavm,Noberus,Coreid,Fin7,碳蜘蛛

分佈方法

  • 受感染的電子郵件附件(網絡釣魚電子郵件)
  • Torrent網站(感染的鏈接或文件)
  • 惡意廣告(惡意廣告)

結果

  • 鎖定文件
  • 被盜密碼
  • 數據洩露
  • DDOS

預防

  • 防病毒和抗惡意軟件
  • 更新的軟件
  • 更新的操作系統(OS)
  • 防火牆
  • 不要從未知來源打開電子郵件附件
  • 不要從可疑網站下載文件
  • 除非您確定它是安全的,否則請不要單擊廣告
  • 僅從可信賴的來源訪問網站

Alphv如何感染您的計算機

BlackCat勒索軟件可以感染您的計算機和網絡的主要方式是通過垃圾郵件和網絡釣魚電子郵件。單擊一個鏈接或下載惡意附件將在計算機上安裝勒索軟件漏洞套件。

垃圾郵件電子郵件活動在網絡釣魚電子郵件攻擊中,黑客使用社會工程來欺騙受害者點擊惡意鏈接或附件。之後,將利用套件下載到機器中,威脅參與者可以隨時觸發勒索軟件。當黑客打算訪問特定業務時,可以將這些電子郵件定為目標,或者在發送大規模惡意軟件垃圾郵件活動時可能是非目標的網絡釣魚。此後,ALPHV將使用橫向運動通過網絡服務器傳播。所以,網絡安全工具和協議例如對員工進行良好實踐的教育,以提高安全意識並實施軟件以阻止惡意通信,這可以幫助防止黑貓攻擊。

ALPHV加密和贖金註釋

Alphv勒索音符內容的內容將根據攻擊者組而有所不同。通常,它規定,數據不僅被盜和加密,而且還警告說,如果受害者不支付贖金,攻擊者組將在darknet上發布數據(在TOR網站上)。文本還指示使用所提供的網站與攻擊者聯繫,並使用Alphv ransomware的個人ID。這是其內容的一個例子:

BlackCat Ransom Note的示例(來源:Microsoft)

Alphv勒索軟件如何工作

BlackCat勒索軟件以Rust書寫,並且非常適應。他們針對多個行業,儘管他們的主要受害者是醫療保健業務,例如藥品企業。他們將通過未撥打的交易所進入您的網絡並妥協憑證。之後,勒索軟件將在加密和數據洩漏期間遵循4個步驟:

  • 發現
  • 橫向運動
  • 收集和剝落
  • 加密和贖金

1。發現

網絡攻擊者將探索系統訪問環境的漏洞。然後,Alphv勒索軟件操作員使用Discovery命令來了解其妥協的組織。您可以通過消除系統的漏洞來防止勒索軟件。為此,您可以通過培訓團隊的網絡威脅來保持所有軟件的更新並創建網絡安全意識。

2。橫向運動

幾天后,在感染了計算機和網絡後,Alphv開始使用技術來竊取憑據,以防止Antivirus Software檢測到通過遠程桌面協議(RDP)通過網絡移動。攻擊者將幾天探索網絡,訪問連接到它的每個設備,收集信息並確定他們可以訪問的設備

3。收集和滲透

在這一點上,攻擊者將提取諸如域設置和信息之類的數據,以及知識產權。這些數據被用於勒索,因為小組威脅要洩漏有關知識產權的信息。由於他們在幾天內從許多設備和文件夾中收集數據,因此它們收集了可以用於雙重勒索的大量數據。

4。加密和贖金

最後一步是加密和贖金。因此,ALPHV日在企業網絡上默默地使用,主要是由憑證造成的漏洞。這些是始於大流行期間開始的遠程工作模型的結果。但是,您可以保護系統,而無需使用網絡安全服務和工具將員工返回辦公室。

防止Alphv勒索軟件攻擊

通過確保您的網絡得到保護,您可以避免ALPHV攻擊。由於BlackCat非常激進,只有採用網絡安全解決方案,您才能避免使用它。但是,這些措施並非完美無瑕,攻擊者可以將自己的方式管理進入您的企業網絡。這就是為什麼更新備份如此重要的原因:這將確保您的數據安全。

1。使用更新的防病毒軟件和防毒器和防火牆

通過使用更新的安全軟件,您可以保證它們具有必要的數據來阻止新形式的攻擊形式,例如Alphv變體。肯定還具有防火牆來阻止任何未經授權的訪問。將阻滯劑添加到電子郵件和網絡中,以防止網絡釣魚並確保在網絡之外傳輸任何信息

2。應用多因素身份驗證

您可以使用兩因素身份驗證或生物識別解鎖,以確保只有授權人員才能訪問文件夾,設備或帳戶。

3。使用網絡安全解決方案

網絡安全解決方案包括安全軟件,例如防病毒,以及諸如培訓員工遵循網絡安全最佳實踐的重要性之類的措施。內部威脅對於預防,與外部威脅一樣重要。並非總是有僱員打算損害業務。在大多數情況下,一個不知道的錯誤會導致勒索軟件攻擊。

4。安排常規備份

保留至少三本數據副本,其中至少有一個存儲的離線和離線副本。這可以保證,即使您受到災難的打擊,自然或人工製造(例如勒索軟件),您的數據始終是安全的。備份可以防止下降,並確保您永遠不會丟失任何敏感數據。

5。手頭有恢復計劃

儘管您採取的所有預防措施都為保護您的業務數據,但災難仍然可以襲來。確保您有災難恢復計劃,以保持業務連續性並防止停機時間,即使發生了ALPHV(BlackCat)勒索軟件攻擊,請參見如何使用我們的深入指南創建數據恢復計劃。

如何從Alphv攻擊中恢復

從ALPHV攻擊中恢復的第一步是通過與Internet斷開連接並刪除任何連接的設備來隔離感染計算機。然後,您必須聯繫地方當局。對於美國居民和企業,這是當地聯邦調查局現場辦公室互聯網犯罪投訴中心(IC3)。要報告勒索軟件攻擊,您必須收集有關它的所有信息,包括:

  • 贖金的屏幕截圖
  • 與ALPHV演員的溝通(如果有的話)
  • 加密文件的示例

您不得刪除勒索軟件,並保留攻擊的所有證據。這對於數字取證很重要,因此專家可以追溯到黑客組並識別它們。正在使用您的感染系統上的數據,以便當局可以調查攻擊並找到負責任。網絡攻擊調查與任何其他刑事調查沒有什麼不同:它需要證據才能找到攻擊者。隔離設備並與當局聯繫後,您必須遵循下一步以檢索數據:

1。聯繫您的事件響應保留器

網絡事件響應是響應和管理網絡安全事件的過程。事件響應保留器是與網絡安全提供商的服務協議,該服務提供商允許組織在網絡安全事件中獲得外部幫助。它通過安全合作夥伴為組織提供了結構化的專業知識和支持形式,使他們能夠在網絡事件發生時快速有效地做出響應。事件響應保留者為組織提供了安心,在網絡安全事件之前和之後提供了專家的支持。事件響應保留者的特定性質和結構將根據提供商和組織的要求而有所不同。良好的事件響應固定器應該是強大但靈活的,可以提供良好的服務,以增強組織的長期安全姿勢。

2。確定勒索軟件感染

您可以檢查哪些勒索軟件通過文件擴展名感染了您的計算機(某些勒索軟件將文件擴展名為其名稱),或者它將在勒索票據上。有了這些信息,您可以尋找一個公共解密密鑰。但是,Alphv還沒有。

3。卸下勒索軟件並消除利用套件

在恢復數據之前,您必須確保您的設備不含勒索軟件,並且攻擊者無法通過漏洞利用工具包或其他漏洞進行新的攻擊。勒索軟件拆除服務可以刪除勒索軟件,創建法醫文檔以進行調查,消除漏洞並恢復您的數據。

4。使用備份來還原數據

備份是恢復數據的最有效方法。確保根據您的數據使用情況保留每日或每週的備份。

5。聯繫勒索軟件恢復服務

如果您沒有備份或需要幫助刪除勒索軟件並消除漏洞,則應聯繫數據恢復服務。不要支付贖金。支付贖金還具有嚴重的後果,例如製裁,除了有資助犯罪活動的道德問題。聯繫負責任的當局(在美國將是FBI),然後使用勒索軟件數據恢復服務。 Salvagedata專家可以安全地恢復您的文件並保證Alphv Ransomware不會再次攻擊您的網絡。請與我們的專家24/7聯繫以獲取緊急恢復服務,或在您附近找到恢復中心。

Related articles