在网络安全的持续战斗中,勒索病毒的形势日益严峻。最近,Forescout 研究所的 Vedere Labs 单位报告了一种新兴的勒索病毒团伙——SuperBlack。该团伙被认为与臭名昭著的 LockBit 勒索软件团伙存在潜在联系。本文将深入探讨 SuperBlack 勒索病毒的特征及其与 LockBit 之间的关系,分析其对网络安全领域的影响。 SuperBlack 勒索病毒的出现标志着勒索软件攻击模式的进一步演变。根据 Forescout 的研究,SuperBlack 主要通过利用 Fortinet 防火墙设备中的两个漏洞来展开攻击。
这些漏洞分别为 CVE-2025-24472 和 CVE-2024-55591,允许未经身份验证的攻击者获取 FortiOS 和 FortiProxy 中的更高权限。一旦攻击者成功入侵目标网络,他们就可以迅速横向移动,锁定关键的基础设施,如认证服务器、数据库和文件服务器。 SuperBlack 勒索病毒的攻击模式与 LockBit 勒索软件有着惊人的相似之处。Forescout 的研究表明,Mora_001(SuperBlack 的另一个名称)在网络入侵后采取了类似 LockBit 的后期行为。这包括使用相同的用户名、重叠的 IP 地址、相似的配置备份行为,以及在特定条件下快速部署勒索软件(通常在 48 小时内)。 研究人员指出,Mora_001/SuperBlack 在攻击过程中还借用了 LockBit 的工具,去除了原有的 LockBit 品牌并部署了自己的数据外泄工具。
最引人注目的证据在于其赎金通知中包含了 LockBit 用于谈判的 TOX ID,这表明 Mora_001 可能是 LockBit 的运营附属团体或与该团伙共享通信渠道的关联团体。 LockBit 黑客团伙于 2024 年 2 月在英国国家犯罪局主导的 Operation Cronos 行动中受到重大打击,许多团伙成员在压力下四散而去,形成了新一轮的网络犯罪活动。SuperBlack 勒索病毒的出现似乎印证了这一理论,显示出 LockBit 的遗留影响在网络安全领域仍然挥之不去。 Forescout 的分析团队表示,通过对 Mora_001/SuperBlack 入侵的时间线分析,以及多项指标和操作模式的重叠,现已能够“自信地”将未来的入侵归因于该团伙,而不论其与 LockBit 的具体关系如何。这一发现突显了当前勒索软件生态系统的复杂性,特定团队以互补的能力协作,形成了更为复杂的攻击模式。 对于企业和组织而言,了解这些新的网络威胁以及采取有效的防护措施至关重要。
首先,企业应定期更新和修补其网络设备,以防范已知的漏洞。其次,增强对网络监控的重视,以便及时发现异常活动。此外,实施建立备份和恢复策略也能够有效降低勒索软件攻击带来的风险。 随着 SuperBlack 勒索病毒和其他新的网络犯罪团伙的持续涌现,网络安全形势将继续演变。企业和组织必须保持警惕,及时调整其安全策略,以应对不断变化的威胁环境。通过定期进行安全审计和员工培训,提高整个组织的安全意识,可以有效减少网络攻击成功的可能性。
总之,SuperBlack 勒索病毒不仅仅是对企业构成的直接威胁,它同时也反映了网络犯罪团伙之间可能存在的深层次关联和合作模式。随着网络安全形势的不断变化,深入了解这些行为和攻击模式对增强企业的安全防范意识至关重要。对于网络安全领域的研究者和从业者而言,关注 SuperBlack 和 LockBit 的动态,将有助于更好地预测和应对未来潜在的网络安全威胁。
