使用 Rust 语言开发的勒索软件 ALPHV/BlackCat - 栋科技

2021年12月，网络安全人员发现一款据信是第一种由Rust语言开发的ALPHV(又名BlackCat)的新型勒索软件即服务。

据外媒报道，ALPHV/BlackCat 的开发者的网名叫做 Binrs，其曾用俄语自我介绍称拥有六年的 Rust 语言开发经验。

安全人士表示，相比 C 或 C++ 语言 Rust 是一种更安全的编程语言，使用 Rust 开发的程序更难找到常见编程漏洞。

根据领先的数据安全软件解决方案提供商Varonis提供的信息，ALPHV/BlackCat 目前正在积极招募勒索软件运营商。

其目标目前包括 REvil、BlackMatter和DarkSide 在内的知名勒索软件组织，承诺向其关联公司提供90%的赎金分成。

Recorded Future的安全人员认为， ALPHV/BlackCat 的作者此前可能以某种身份参与过目前已被捕的REvil勒索组织。

尽管 REvil 勒索组织的成员已被俄罗斯FSB情报机构逮捕，但与 REvil 勒索软件相关的活动似乎并未停止且有所增加。

ALPHV/BlackCat 的开发者的 Binrs 在网络犯罪论坛 RAMP发帖称自己能说流利的英语并留下 ToX 即时通信软件 ID。

而在俄罗斯论坛 BHF 上，使用相同 ToX ID 的用户smiseo则在卖力的宣传自己用 Rust 语言编写的 clipper 勒索软件。

此外，在美国论坛Carder[.]uk上，使用相同 ToX ID 用户YBCat同样在兜售能同时入侵数千台计算机的恶意勒索软件。

在俄罗斯犯罪论坛 wwh-club[.]co 上，有个名为Binrs的 Rust 程序员，称可通过@CookieDays Telegram 帐户联系到。

而在俄罗斯犯罪论坛 Lolzteam 上，一个名为 DuckerMan 的用户则在签名中标注了@CookieDays 的Telegram 帐户。

只不过DuckerMan售卖的是名为 CookieDays 的附属计划，该计划可通过感染他人设备进行加密货币挖矿进行赚钱。

此外，DuckerMan 还在俄罗斯 Lolzteam 犯罪论坛其他的帖子中售卖一个名为 Chloe Clipper 的设备剪贴板劫持程序。

这个 DuckerMan 在 Telegram 中使用另外一个别名 Sergey Duck，该用户在 GitHub 中列出多个Rust 编写的代码库。

其实，通过上述资料我们不难发现，这个自称Binrs的黑客很可能在不同平台使用了不同名称却用共同元素相互串联。

比如相同的ToX ID 、相同的Telegram帐户甚至是相同的勒索软件和相同的昵称，这些都是黑客实现账户串联的元素。

即便如此，安全人员依旧无法从中分析出 Binrs的真实身份以及 ALPHV/BlackCat 勒索软件是否确由 Rust 语言开发。

目前，Sergey Duckerman 已删除 GitHub 帐户，而且用户 Binrs 正逐步从多个网络犯罪论坛中清理自己的个人材料。

在分析这个 ALPHV/BlackCat 资料之前，笔者第一次听说 Rust 编程语言，据说这是一种高效、可靠的通用高级语言。

当然，笔者在编程方面的水平至今处于 PHP + CSS/JS = HTML的底层，基本上是复制粘贴外加看不懂的阶段，哈哈。