在網(wǎng)絡(luò)安全這片沒(méi)有硝煙的戰(zhàn)場(chǎng)上，新的威脅總是層出不窮。如今，一個(gè)名為BlackLock(又稱(chēng)El Dorado或Eldorado)的勒索軟件即服務(wù)(RaaS)組織正悄然崛起，據(jù)ReliaQuest預(yù)測(cè)，它有望在2025年成為最活躍的勒索軟件組織。這一預(yù)測(cè)并非憑空而來(lái)，而是基于BlackLock在俄語(yǔ)論壇RAMP上的異常活躍表現(xiàn)和良好聲譽(yù)，以及其積極招募誘導(dǎo)者、初始訪問(wèn)中介(IAB)和附屬成員的強(qiáng)勢(shì)舉動(dòng)。

BlackLock，這個(gè)在2024年初嶄露頭角的組織，憑借其定制開(kāi)發(fā)的勒索軟件，已經(jīng)讓不少企業(yè)和個(gè)人聞風(fēng)喪膽。這款軟件不僅針對(duì)Windows、VMWare ESXi和Linux等多種環(huán)境，還會(huì)在加密受害者數(shù)據(jù)的同時(shí)，竊取這些數(shù)據(jù)作為籌碼，威脅如果不支付贖金就公開(kāi)。更狡猾的是，其數(shù)據(jù)泄露網(wǎng)站采用了特殊技巧，讓受害者和研究人員難以快速下載泄露的文件，從而增加了調(diào)查攻擊影響的難度。

BlackLock的攻擊手段可謂多種多樣，且狡猾至極。他們通過(guò)Windows命令行刪除文件/卷的陰影副本，讓受害者無(wú)法恢復(fù)被加密的數(shù)據(jù);入侵高權(quán)限的ESXi服務(wù)賬戶(hù)“vpxuser”，獲取對(duì)虛擬機(jī)環(huán)境的控制權(quán);還使用傳遞(NTLM)哈希技術(shù)訪問(wèn)目標(biāo)網(wǎng)絡(luò)內(nèi)的其他主機(jī)，進(jìn)一步擴(kuò)大攻擊范圍。更令人擔(dān)憂的是，BlackLock已經(jīng)表現(xiàn)出對(duì)利用Microsoft Entra Connect功能入侵目標(biāo)本地環(huán)境的濃厚興趣。對(duì)于在一個(gè)Entra租戶(hù)下管理多個(gè)域的組織來(lái)說(shuō)，這種戰(zhàn)術(shù)無(wú)疑帶來(lái)了特權(quán)升級(jí)的重大風(fēng)險(xiǎn)，以及可能發(fā)生重大數(shù)據(jù)泄露的潛在威脅。

在RAMP論壇上，BlackLock的代表化名為“$$$”，他們異?；钴S，不斷建立聯(lián)系和信任。他們參與各種論壇板塊的聊天，與開(kāi)發(fā)人員、初始訪問(wèn)中介、潛在附屬成員和競(jìng)爭(zhēng)對(duì)手團(tuán)伙保持密切聯(lián)系。這種互動(dòng)不僅展示了BlackLock的社交能力，更揭示了他們?cè)敢鈱W(xué)習(xí)并吸收其他人開(kāi)發(fā)的工具和功能，將其納入自己的攻擊工具包中的野心。監(jiān)測(cè)這些互動(dòng)，可以為防御者提供BlackLock惡意軟件演變的早期指標(biāo)，從而制定主動(dòng)防御策略。

BlackLock之所以能夠在短時(shí)間內(nèi)迅速崛起，除了其強(qiáng)大的攻擊手段外，還得益于其熟練的誘導(dǎo)者和初始訪問(wèn)中介。他們?yōu)檫M(jìn)入目標(biāo)組織網(wǎng)絡(luò)打下了堅(jiān)實(shí)的基礎(chǔ)，使得BlackLock的附屬成員能夠更輕松地實(shí)施攻擊。然而，這也可能表明，核心RaaS組織有時(shí)就是實(shí)施攻擊的主體，他們并不僅僅滿足于提供服務(wù)和工具，而是親自下場(chǎng)參與攻擊。

幾周前，$$$在RAMP上發(fā)出了一則詢(xún)問(wèn)，尋求能夠利用Active Directory和Entra ID之間的同步機(jī)制入侵本地用戶(hù)的人才。他們希望與這些人合作，共同實(shí)施更復(fù)雜的攻擊。這一舉動(dòng)無(wú)疑揭示了BlackLock對(duì)身份和訪問(wèn)管理系統(tǒng)的濃厚興趣，以及他們利用混合基礎(chǔ)設(shè)施進(jìn)行更復(fù)雜攻擊的野心。為了擴(kuò)展其能力，BlackLock可能會(huì)招募擅長(zhǎng)VMware AirWatch、Cisco Identity Services Engine等身份和訪問(wèn)管理系統(tǒng)的專(zhuān)家。這種專(zhuān)業(yè)知識(shí)將使BlackLock能夠更輕松地操縱受信任的機(jī)制，提升特權(quán)、保持持久性并入侵連接的域。

面對(duì)BlackLock的迅速崛起和不斷進(jìn)化的攻擊手段，各組織必須提前應(yīng)對(duì)威脅，加強(qiáng)防御措施。憑借這些競(jìng)爭(zhēng)優(yōu)勢(shì)，BlackLock幾乎肯定會(huì)登上“2025年最活躍的勒索軟件組織”榜首。因此，各組織不能掉以輕心，必須做好充分的準(zhǔn)備來(lái)抵御這些攻擊者。

除了基礎(chǔ)安全措施如啟用多因素身份驗(yàn)證(MFA)和在不必要的系統(tǒng)上禁用遠(yuǎn)程桌面協(xié)議(RDP)外，防御BlackLock還需要戰(zhàn)略性地關(guān)注其目標(biāo)基礎(chǔ)設(shè)施。特別是對(duì)于ESXi環(huán)境，各組織應(yīng)關(guān)閉未使用的管理服務(wù)和冗余HTTPS接口，以最小化攻擊面;阻止與ESXi主機(jī)的直接連接，并將其配置為僅通過(guò)vCenter進(jìn)行管理;使用身份感知防火墻或嚴(yán)格的訪問(wèn)控制列表來(lái)限制對(duì)ESXi主機(jī)的網(wǎng)絡(luò)訪問(wèn)，僅允許通過(guò)安全的跳轉(zhuǎn)服務(wù)器或隔離網(wǎng)絡(luò)上的帶外管理系統(tǒng)訪問(wèn)它們。

同時(shí)，為了防止BlackLock(和其他組織)利用Entra ID - Active Directory同步流進(jìn)行攻擊，各組織應(yīng)加強(qiáng)屬性同步規(guī)則、監(jiān)控和限制密鑰注冊(cè)，并實(shí)施條件訪問(wèn)策略。這些策略可以有效防止BlackLock注冊(cè)惡意密鑰或執(zhí)行未經(jīng)授權(quán)的同步，從而保護(hù)組織的網(wǎng)絡(luò)安全不受侵害。

總之，BlackLock的崛起對(duì)網(wǎng)絡(luò)安全構(gòu)成了嚴(yán)重威脅。其活躍的招募策略、多樣的攻擊手段和不斷進(jìn)化的攻擊工具包使得防御者面臨巨大挑戰(zhàn)。為了抵御BlackLock的攻擊，各組織必須加強(qiáng)防御措施，戰(zhàn)略性地關(guān)注其目標(biāo)基礎(chǔ)設(shè)施，并采取一系列具體的技術(shù)措施來(lái)保護(hù)ESXi環(huán)境和防止利用Entra ID - Active Directory同步流進(jìn)行攻擊。同時(shí)，還需要加強(qiáng)員工的安全意識(shí)培訓(xùn)，提高他們對(duì)勒索軟件等網(wǎng)絡(luò)威脅的識(shí)別和防范能力。只有這樣，才能在網(wǎng)絡(luò)安全這場(chǎng)沒(méi)有硝煙的戰(zhàn)爭(zhēng)中立于不敗之地，確保組織的網(wǎng)絡(luò)安全和數(shù)據(jù)安全。