最近，Cyble網路安全人員調查了印度銀行和金融服務行業IT公司Nucleus Software於2021年5月30日遭受的一次攻擊。調查發現，對該公司實施網路攻擊的是BlackCocaine團伙。和其他勒索軟體團伙一樣，BlackCocaine 勒索軟體團伙也經營著自己的網站(hxxp://blackcocaine[.]top)，該網站是該組織最近開始運作時註冊。

根據調查，域名的WHOIS資訊顯示BlackCocaine 勒索軟體的域是在2021年5月28日註冊的，由此可以判斷，Nucleus Software是BlackCocaine勒索軟體組織的第一個受害者。

研究人員報告稱，一份名為a.BlackCocaine的檔案最近被提交到不同的公共沙箱。

勒索軟體在加密受害者檔案的同時執行檔案系統列舉，然後將副檔名“ .BlackCocaine ”附加到加密檔案的檔名。研究顯示，勒索軟體使用的是AES和RSA加密方法。

一旦檔案被加密後，勒索軟體就會向受害者機器傳送檔名為：

“HOW_TO_RECOVER_FILES.BlackCocaine.txt”的勒索字條。

BlackCocaine勒索軟體是用Go語言編寫的，並使用 MinGW工具進行編譯。有效負載檔案是一個UPX打包的64位Windows可執行檔案。

勒索軟體payload編譯於2021年5月29日。該勒索軟體實現了多種反虛擬機器和反除錯技術，以保護自身免受自動分析工具的分析和捕獲。

報告最後稱，BlackCocaine 是勒索軟體組織中的最新成員，似乎是最複雜和最活躍的惡意軟體之一，這個勒索軟體家族採用了相同的伺服器端加密模式來鎖定使用者檔案並索要贖金。但目前，還未確定 BlackCocaine 的初始感染媒介。

安全團隊建議：

使用共享的 IoCs來監控和阻止惡意軟體感染。 

使用 靜態程式碼安全檢測工具提升 軟體原始碼原生安全。

儘可能使用強密碼並強制執行多因素身份驗證。 

儘可能開啟計算機、移動裝置和其他電子產品的軟體自動更新功能。 

在裝置(包括 PC、膝上型電腦和移動裝置)上使用知名的防病毒和 Internet 安全軟體包。

在確認其真實性前，避免開啟不可信的電子郵件附件和連結。 

勒索軟體致使全球網路安全問題加劇

儘管網路安全防禦手段在不斷提升，但勒索軟體技術也在發展並不斷湧現出新的組織。Check Point Research顯示，與2020年5月相比，亞太地區(APAC)的網路攻擊數量同比增長168%。2021年4月至5月期間，亞太地區的網路攻擊增加53%。增幅最大的惡意軟體型別是勒索軟體和遠端訪問木馬 (RAT)，與今年早些時候相比，這兩種軟體在 2021年5月都增加了26%。

前段時間，日本最受歡迎的約會應用程式Omiai遭遇了伺服器駭客攻擊，暴露超170萬人資料，其中包括使用者提交的用於驗證年齡的駕照和護照影像。印度今年早些時候暴露1.8 億使用者資料的網路攻擊之後，多米諾印度客戶的資料被髮在暗網上。

勒索軟體不僅影響了亞太地區，上個月美國遭受重大網路攻擊後，美國總統拜登緊急簽署網路安全新行政令，鑑於勒索軟體造成的損害日益嚴重，美國司法部正在將勒索軟體攻擊的調查提升到與恐怖主義類似的優先順序。

中科天齊軟體原始碼安全檢測中心指出，勒索軟體一般盯住系統安全漏洞實施網路安全攻擊，而這些系統漏洞一方面由 原始碼安全缺陷產生，另一方面防毒軟體並不能完全防禦，因此給網路攻擊者以可乘之機。

勒索家族新成員BlackCocaine攻擊印度銀行，尚未得知感染媒介

安全團隊建議：

勒索軟體致使全球網路安全問題加劇

相關文章