近日，国际知名的自动化提供商ABB遭到Black Basta勒索攻击，该攻击影响了ABB公司的域控系统及数百台设备，为应对此次攻击，ABB终止了与其客户的VPN连接，以防止勒索软件传播到其工业客户的网络中。

巧合的是，在该勒索攻击发生前，仅不到1个月的时间内，ABB刚刚举办了勒索感知OT防御峰会，而该峰会的重点是降低勒索软件攻击风险和识别关键基础设施安全威胁。

Revil和Conti是近几年来最为臭名昭著的勒索组织，Revil组织成员成功勒索了美国科洛尼尔管道公司，Conti组织则是勒索了哥斯达黎加政府机构，在多国政府的联合执法打击下，Revil和Conti均已关停，然而Black Basta在团队运作、攻击手法方面与Conti有较多相似之处。

Black Basta勒索组织赎金谈判入口

Black Basta组织的勒索攻击极为高效，Black Basta与僵尸网络组织Qbot开展了合作，使用Cobalt Strike工具发起勒索攻击，能够对全球各国企业直接发起勒索攻击，无需在获得初始访问权限及权限提升上耗费时间，在Black Basta开展勒索攻击的三个月内，就有近百家企业被成功入侵、勒索，其中近半数为国际知名企业或机构，包括加拿大大型食品零售商Sobeys、德国建筑材料供应商Knauf、英国外包巨头Capita等，每家企业均被要求支付数百万美元的赎金。

Black Basta使用知名恶意工具Cobalt Strike进行横向扩散

Black Basta在3个月内就成功勒索了近百家企业

Black Basta使用PowerShell和Windows WMI投递勒索载荷，以绕过安全检测软件，Black Basta使用ChaCha20算法加密用户数据文件，而后使用非对称算法RSA-4096加密ChaCha20的密钥，如此组合加密的方式，基本不可能被破解。

Black Basta具有极强的渗透、破坏能力

Black Basta勒索病毒在客户终端或服务器环境运行后，将对用户的数据文件、可执行文件进行加密，加密后数据文件无法打开、执行文件无法执行，同时替换桌面壁纸，提醒用户阅读勒索信。

Black Basta勒索病毒将加密数据文件和可执行程序

Black Basta勒索病毒为逼迫用户支付赎金，会对操作系统卷影备份功能进行破坏，并对备份数据进行删除，威努特防勒索系统可精准检测这一恶意行为，并进行拦截。

威努特防勒索系统拦截Black Basta卷影删除行为

Black Basta勒索病毒加密用户数据的行为，触发了威努特防勒索系统的诱捕功能，威努特防勒索系统在拦截Black Basta数据加密动作的同时，中断Black Basta进程，并对其执行文件进行隔离，以彻底杜绝其再次执行。

威努特防勒索系统成功诱捕Black Basta并对其进行隔离

威努特防勒索系统完全基于勒索行为的检测能力，可对全球范围内各类已知、新型勒索病毒有效检测，自威努特防勒索系统发布以来，各类新型勒索病毒，无论是Darkside、tellyouthepass、Devos、Mallox、Phobos、Money Message，还是本次的Black Basta，无一例外，均能有效防范。

威努特防勒索成功拦截全球400个家族8万多个勒索病毒

勒索攻击在全球范围内持续蔓延，基于威胁情报和病毒特征的防护软件或安全平台，在面对新型勒索病毒时很容易失效，因此需要基于勒索病毒行为特征构建安全防护能力。此外，勒索病毒攻击手法不断演进变化，依靠单一的功能无法确保有效防御。因此，我们需要综合勒索行为检测、数据安全保护、系统资源保护、数据备份与恢复等完整的、闭环的安全能力，才能实现勒索病毒的有效防范。

威努特主机防勒索系统（防病毒）是专防专治勒索病毒的终端安全产品，产品深度结合操作系统内核驱动，以勒索行为监测、勒索病毒诱捕、系统资源保护、关键业务保护、核心数据保护、数据智能备份等多项创新技术，精准识别勒索软件、保护系统资源不被破坏、保护业务应用免遭中断、保护业务数据不被篡改、备份业务数据并恢复，实现事前预防、事中检测/阻断、事后恢复的勒索病毒综合防范。

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121