加密貨幣中的 BlackCat 勒索軟體是什麼？

BlackCat，也被追蹤為 ALPHV，是當前最臭名昭著的「勒索軟體即服務」（Ransomware-as-a-Service, RaaS）集團之一，廣泛利用加密貨幣進行勒贖支付與洗錢活動。該組織以模組化程度高的程式碼、專業的加盟制度，以及激進的「雙重」甚至「三重」勒索策略迅速崛起，攻擊對象遍及醫療、金融、能源與科技產業。儘管在 2023 年底，其基礎設施之一遭到執法機構破壞，並於 2024 年發生一連串事件後品牌分裂，但 BlackCat 開創的一套戰術至今仍持續影響整個勒索軟體生態系。對加密貨幣用戶與區塊鏈業者而言，理解 BlackCat 的運作方式，以及加密資金如何成為其犯罪工具，將有助於降低風險與提升資安應變能力。

如需技術細節與攻擊指標，請參閲美國 CISA 發佈的 ALPHV/BlackCat 勒索軟體警示：CISA: ALPHV/BlackCat Ransomware (Alert)

誰是 BlackCat？它與加密貨幣有什麼關聯？

• 勒索軟體即服務（RaaS）模式：BlackCat 採用特許經營模式，開發與維護勒索軟體的為主控團隊，而實際攻擊行動則由旗下的「盟友」執行，所得收入雙方拆分。
• 多重勒索手法：「加密+解密金鑰」僅是開始，BlackCat 常見的攻擊方式還包括資料竊取、威脅公開敏感資料以及直接騷擾目標組織的利害關係人。
• 以加密貨幣為首選支付方式：受害者通常被要求以比特幣（BTC）或隱私幣（多為 Monero）支付贖金，並且設有專屬支付入口及時效性「折扣」。

執法單位曾對 BlackCat 的基礎設施進行打擊，包括美國政府關閉其洩密網站，並協助部分受害者取得解密工具。參考來源：U.S. Department of Justice: Disruption of ALPHV/BlackCat Ransomware Operation

然而，即使用戶端遭瓦解，仍有眾多關聯組織與模仿團體活躍於攻擊行列。2024 年 Change Healthcare 遭攻擊事件，該公司疑似支付 2200 萬美元加密貨幣贖金後仍遭詐騙式「退場騙局」，可謂黑貓惡名的高峰。詳見來源：BleepingComputer: Change Healthcare reportedly paid $22 million ransom to ALPHV、BleepingComputer: ALPHV shuts down, steals $22 million ransom in exit scam

BlackCat 如何使用加密貨幣？

• 支付機制：贖金通常以 BTC 或 XMR（Monero）計價。比特幣具流動性及可追蹤性；Monero 則具更高鏈上隱私。
• 洗錢手法：非法所得會透過混幣器、跨鏈橋與多次轉帳進行資金混淆。BTC 資金路徑尚可追蹤，隱私幣則大幅提高歸因難度。
• 收益分潤機制：RaaS 模式下，盟友會依據每次攻擊成果獲得分潤，通常可在資金「分錢」時觀察到錢包分流跡象。

CrowdStrike 與 Palo Alto Networks 曾對 ALPHV/BlackCat 的工具、技術與獲利模式進行詳細分析。詳見來源：CrowdStrike Intelligence on ALPHV/BlackCat、Unit 42: BlackCat Ransomware Analysis

BlackCat 的攻擊模式重點

• 初始入侵手法：常見為盜取帳號憑證、未修補的 VPN 漏洞、遠端桌面服務、釣魚郵件以及通用惡意工具。
• 快速橫向滲透：攻擊者會迅速找出備份系統及敏感資料儲存位置，再進行加密，影響範圍可能包含熱錢包與核心業務系統。
• 先竊取、後加密：資料通常會優先被外傳至雲端儲存或匿名主機，再部署勒索軟體。

若你的組織負責管理加密資產、交易所或 DeFi 架構，勒索軟體可能造成的不只是伺服器停擺。熱錢包金鑰若位於受感染端點，極可能遭竊；業務中斷會影響使用者服務，資料外洩風險則可能觸及用戶錢包資料與交易紀錄。

該不該支付贖金？

支付贖金風險很高，不一定能成功取回資料，還可能涉及法律責任。美國監管單位已警告，若輔助支付對象為受制裁實體或特定地區，將面臨制裁風險。參考資料：U.S. Treasury OFAC Advisory on Ransomware Payments

在做出任何支付決定前，應先諮詢法律顧問與執法單位。參閱：FBI: Ransomware Guidance、No More Ransom 解密與通報平台

加密原生組織的實戰防禦建議

• 強化身份安全與終端防護

  • 啟用對抗釣魚的多因素驗證（MFA）
  • 定期更換憑證，關閉過時的存取協議
  • 快速修補所有對外公開的服務漏洞

• 劃分並保護核心系統

  • 隔離建置管線、簽章金鑰與金庫操作環境
  • 嚴格限定熱錢包存取權，優先採用自動化交易策略取代人工操作

• 可用的備份策略

  • 為基礎設施與錢包中繼資料建立離線、不可變更備份（勿將私鑰以明文儲存）
  • 定期測試備份還原流程，確保可用性

• 抗勒索的資產架構設計

  • 將大部分資金預設存放於冷錢包
  • 熱錢包採用多簽機制，設每日限額
  • 將私鑰保存在離線、經過防篡改認證的設備，並實施職責隔離

• 備妥事件應變計畫

  • 預先擬定針對勒索攻擊與資料外洩的應變流程
  • 與數位鑑識、區塊鏈追蹤團隊建立合作關係
  • 定期監控洩密網站與鏈上可疑動態，尋找與組織識別相關資料

CISA 聯合發佈的 ALPHV/BlackCat 安全建議中，亦提供詳細防禦建議與應變步驟：CISA: ALPHV/BlackCat Ransomware (Alert)

一般加密貨幣用戶該注意什麼？

雖然企業級勒索攻擊主要鎖定大型組織，相關衝擊卻常波及一般用戶，特別是當交易所、支付平台或加密服務被迫暫停運營時。以下基本措施有助於減少個人風險：

• 保管金鑰離線：請勿將助記詞或錢包儲存在用於上網、收郵件或下載應用的筆電上。
• 確認軟體來源：僅從官方來源下載錢包程式。
• 提防假支援與假帳單：社群私訊與假連結仍是最主流的入侵手法。
• 備份系統資料：當個人設備遭受攻擊時，備份可減少資料損失與停機時間。

硬體錢包的角色

勒索軟體主要針對系統檔案進行加密，通常無法直接攻擊硬體錢包本體。但若助記詞與熱錢包儲存在受感染的設備上，資產依然可能遭盜。將私鑰保管於離線環境的硬體錢包，是應對此類威脅的有效方法。

OneKey 就是一款專為離線金鑰管理與安全簽署設計的硬體錢包，在加密資產金庫架構中，可作為最小化熱錢包風險的核心工具。以下是勒索場景中尤為重要的特性：

• 離線簽署：私鑰永不接觸任何連網裝置
• 多鏈支援：可安全作業於 BTC、ETH 等主流鏈上，並集中管理金鑰
• 安全設計優先：敏感資料徹底隔離，支援多簽與進階加密設置（如密碼短語）

若你的組織正強化勒索防護策略，可考慮將大部分資產移至由 OneKey 冷錢包管理的架構，並對必要的熱錢包訂立嚴謹的操作規範。

重點摘要

• BlackCat / ALPHV 是利用加密貨幣為工具的主要勒索軟體即服務平台，其大部分攻擊行動由旗下盟友執行。
• 即使主組織遭瓦解，其所開創的「資料外洩—加密—勒索」範式仍廣泛被其他群體採用。
• 加密原生企業因熱錢包與高可用架構而特別容易成為攻擊目標，應儘早採取冷錢包架構、系統分區及事件應變部署。
• 支付贖金前請務必諮詢律師與執法單位，違規支付可能涉及制裁責任。
• 硬體錢包如 OneKey 可有效將私鑰隔離於線上風險外，是保障數位資產的有效防線。

欲獲得最新資訊與官方防護建議，請持續關注 CISA 勒索軟體專區 與 FBI 勒索指引。