看Darktrace如何对抗ALPHV BlackCat勒索软件
发布网友
发布时间:2024-10-24 16:32
共1个回答
热心网友
时间:2天前
2023年10月,Darktrace检测到客户网络遭受ALPHV(黑猫)勒索软件攻击。攻击与Nitrogen恶意软件相关,通过发布恶意广告、分发恶意Python包进行传播。
2023年,威胁趋势显示“恶意软件即服务”是最主要威胁,恶意软件和勒索软件变得通用化、可定制化。2024年,应关注恶意软件即服务(MaaS)和勒索软件即服务(RaaS)威胁。
ALPHV,又称“BlackCat(黑猫)”或“Noberus”,是一种使用Rust编写的勒索软件。样本由RaaS运营商出售给网络犯罪分子,后者进入目标单位网络,植入勒索软件并要求支付赎金。该勒索软件于2021年11月首次被发现,成为最活跃的勒索软件病毒之一。截至2023年9月,ALPHV赎金总额接近3亿美元。
2023年12月,FBI和美国司法部成功打击ALPHV组织,包括关闭其数据泄露网站,发布解密工具。2024年2月,美国悬赏1000万美元,寻求关键领导人情报。ALPHV的破坏活动似乎减少,但组织可能以新形式回归。
ALPHV勒索软件通过恶意广告在用户设备上植入名为“Nitrogen”的Python后门。用户点击广告,下载并安装后门恶意软件。该后门将多种C2植入程序植入设备,包括Cobalt Strike Beacon和Sliver C2。犯罪分子利用这些C2植入程序进行侦察和横向移动,准备执行ALPHV勒索软件payload。
面对ALPHV攻击,Darktrace在客户网络遭受攻击时迅速识别入侵指标(IoC),并通过Cyber AI Analyst自主调查各种入侵后活动,帮助客户全面还原攻击过程,启动整改和恢复工作。
2023年10月,Darktrace发现ALPHV下游组织通过恶意广告渗透客户网络,引导客户从假冒网站下载并安装Nitrogen。Darktrace DETECT在第一时间识别异常流量模式,加上Cyber AI Analyst自主调查,帮助客户全面了解攻击过程并迅速启动修复。
攻击者通过用户与恶意广告交互,重定向至假冒Wireshark网站,引导用户下载并安装Nitrogen后门恶意软件。犯罪分子利用该后门进行侦察和横向移动,准备执行ALPHV勒索软件payload。
Darktrace DETECT发现异常文件写入峰值,文件存在伪装行为,难以被传统安全工具检测。AI分析师对异常行为展开自主调查,将横向移动事件汇总,帮助客户发现受影响设备并开始修复。
攻击者通过横向移动访问内部域控制器,利用SMB和WMI服务传播恶意payload。Darktrace发现攻击者在内部SQL服务器和域控制器进行人为权限提升、网络侦察、数据窃取和payload传输。
攻击者在用户VMware环境中执行勒索软件,加密客户VMware vCenter服务器和虚拟机。整个攻击过程耗时约24小时。
Darktrace主动威胁通知(PTN)服务及时通知客户可疑活动,帮助快速发现受感染设备并在入侵升级前阻断。面对高危告警,Darktrace RESPOND立即响应中断入侵活动,降低横向移动风险。AI分析师综合分析多个事件,还原攻击过程,提高事后调查效率。
ALPHV勒索软件攻击凸显了网络犯罪趋势,犯罪团伙不断升级装备以躲避安全措施。Darktrace成功检测和响应证明了自学习AI在异常检测和攻击响应中的独特价值。
