研究人员将黑猫勒索软件与过去的黑物质恶意软件活动联系起来

网络安全研究人员发现了BlackCat（又名AlphaV）和BlackMate勒索软件家族之间的进一步联系，在去年的国际审查后，前者作为替代品出现。

“至少新黑猫组织的一些成员与黑物质组织有联系，因为他们修改并重新使用了一个定制的过滤工具[…]卡巴斯基的研究人员在一项新的分析中说。

被称为FNDR的工具不仅被升级为包括更多的文件类型，而且还被帮派广泛地用于在加密之前的2021年12月和2022年1月从企业网络窃取数据，这是一种流行的策略，叫做双重敲诈。

思科塔洛斯公司的研究人员发现BlackCat和BlackMatter在战术、技术和程序（TTP）上存在重叠，并将新的勒索软件变体描述为“垂直业务扩张”的一个案例。

BlackCat之所以脱颖而出，有两个原因：它是一家过去部署BlackMatter的附属公司，其恶意软件是用锈迹编写的，这表明威胁参与者正越来越多地转向具有交叉编译功能的编程语言。

研究人员指出，该组织“提供基础设施、恶意软件样本、赎金谈判，可能还会兑现”。“任何已经进入受损环境的人都可以使用黑猫的样本感染目标。”

一旦执行，恶意软件就会从注册表中获取Windows系统的MachineGuid；安装操作系统时生成的唯一密钥；以及它的UUID，在继续绕过用户帐户控制（UAC）之前，删除卷影备份，并启动加密过程。

研究人员说：“这种改良挡泥板（也称为ExMatter）的使用代表了一个新的数据点，将黑猫与过去的黑物质活动联系起来”。

“对这个可重用工具的修改展示了一种更为复杂的规划和开发方案，以使需求适应目标环境，这是一个成熟的犯罪企业的特点。”