【安全资讯】BlackSuit高级勒索软件战术曝光：伪装成杀毒软件

概要：

近期，KADOKAWA公司遭遇了一系列严重的服务中断事件，最终被证实是由臭名昭著的BlackSuit勒索软件组织发起的攻击。此次攻击不仅影响了多个网站的正常运营，还导致了大量敏感信息的泄露。BlackSuit勒索软件通过伪装成知名杀毒软件Qihoo 360的组件，成功避开了大多数安全检测。

主要内容：

五周前，BlackSuit勒索软件组织声称对KADOKAWA公司的攻击负责，并发出最后通牒：若不满足其赎金要求，将在7月1日公开被盗信息。Deep Instinct的威胁实验室深入分析了BlackSuit的战术和技术，发现其采用了高级混淆方法，包括将其有效载荷伪装成Qihoo 360杀毒软件的合法组件，从而大幅降低了检测率。

最新的BlackSuit样本显示出更低的检测率，表明攻击者有意规避安全措施。这些样本包含编码字符串和导入的DLL，旨在阻碍分析工作。一个强制性的ID参数绕过了自动仿真，进一步增强了其隐蔽性。最具影响力的变化之一是将勒索软件伪装成知名的免费杀毒软件Qihoo 360的一部分，包括伪造的水印，显著降低了检测率。

BlackSuit还采用了非对称密钥交换进行加密，删除影子副本以禁用轻松恢复，并具备禁用安全模式和关闭系统的能力。加密文件会附加.blacksuit扩展名，并生成名为readme.blacksuit.txt的赎金通知。BlackSuit使用多种初始攻击向量，包括使用被盗凭证的RDP、VPN和防火墙漏洞、带有宏的Office电子邮件附件、种子网站、恶意广告和第三方木马。

攻击者还利用了CobaltStrike、WinRAR、PUTTY、Rclone、Advanced IP Scanner、Mimikatz和GMER等工具。这种多样化的攻击向量使BlackSuit能够瞄准广泛的受害者群体，危及大量数据。BlackSuit组织在暗网上运营一个新闻和泄露网站，一旦赎金期限过后，他们会在该网站上公布受害者的外泄数据，包括行业、员工数量、收入和联系方式等关键信息。