最近，Cyble网络安全人员调查了印度银行和金融服务行业IT公司Nucleus Software于2021年5月30日遭受的一次攻击。调查发现，对该公司实施网络攻击的是BlackCocaine团伙。和其他勒索软件团伙一样，BlackCocaine 勒索软件团伙也经营着自己的网站(hxxp://blackcocaine[.]top)，该网站是该组织最近开始运作时注册。

根据调查，域名的WHOIS信息显示BlackCocaine 勒索软件的域是在2021年5月28日注册的，由此可以判断，Nucleus Software是BlackCocaine勒索软件组织的第一个受害者。

研究人员报告称，一份名为a.BlackCocaine的文件最近被提交到不同的公共沙箱。

勒索软件在加密受害者文件的同时执行文件系统枚举，然后将扩展名“ .BlackCocaine ”附加到加密文件的文件名。研究显示，勒索软件使用的是AES和RSA加密方法。

一旦文件被加密后，勒索软件就会向受害者机器发送文件名为：

“HOW_TO_RECOVER_FILES.BlackCocaine.txt”的勒索字条。

BlackCocaine勒索软件是用Go语言编写的，并使用 MinGW工具进行编译。有效负载文件是一个UPX打包的64位Windows可执行文件。

勒索软件payload编译于2021年5月29日。该勒索软件实现了多种反虚拟机和反调试技术，以保护自身免受自动分析工具的分析和捕获。

报告最后称，BlackCocaine 是勒索软件组织中的最新成员，似乎是最复杂和最活跃的恶意软件之一，这个勒索软件家族采用了相同的服务器端加密模式来锁定用户文件并索要赎金。但目前，还未确定 BlackCocaine 的初始感染媒介。

安全团队建议：

使用共享的 IoCs来监控和阻止恶意软件感染。 

使用静态代码安全检测工具提升软件源代码原生安全。

尽可能使用强密码并强制执行多因素身份验证。 

尽可能打开计算机、移动设备和其他电子产品的软件自动更新功能。 

在设备(包括 PC、笔记本电脑和移动设备)上使用知名的防病毒和 Internet 安全软件包。

在确认其真实性前，避免打开不可信的电子邮件附件和链接。 

勒索软件致使全球网络安全问题加剧

尽管网络安全防御手段在不断提升，但勒索软件技术也在发展并不断涌现出新的组织。Check Point Research显示，与2020年5月相比，亚太地区(APAC)的网络攻击数量同比增长168%。2021年4月至5月期间，亚太地区的网络攻击增加53%。增幅最大的恶意软件类型是勒索软件和远程访问木马 (RAT)，与今年早些时候相比，这两种软件在 2021年5月都增加了26%。

前段时间，日本最受欢迎的约会应用程序Omiai遭遇了服务器黑客攻击，暴露超170万人数据，其中包括用户提交的用于验证年龄的驾照和护照图像。印度今年早些时候暴露1.8 亿用户数据的网络攻击之后，多米诺印度客户的数据被发在暗网上。

勒索软件不仅影响了亚太地区，上个月美国遭受重大网络攻击后，美国总统拜登紧急签署网络安全新行政令，鉴于勒索软件造成的损害日益严重，美国司法部正在将勒索软件攻击的调查提升到与恐怖主义类似的优先级。

勒索软件一般盯住系统安全漏洞实施网络安全攻击，而这些系统漏洞一方面由源代码安全缺陷产生，另一方面杀毒软件并不能完全防御，因此给网络攻击者以可乘之机。

参考链接：

https://cybleinc.com/2021/06/03/nucleus-software-becomes-victim-of-the-blackcocaine-ransomware/