BlackLock勒索軟件正迅速崛起，成為全球新威脅!

勒索軟件不僅持續(xù)威脅著各企業(yè)，而且有新的證據(jù)表明，這一問題再次呈現(xiàn)增長(zhǎng)趨勢(shì)。如今，一個(gè)特定的勒索軟件運(yùn)營者正引起特別關(guān)注。據(jù)Reliaquest的安全分析師稱，BlackLock是全球增長(zhǎng)最快的勒索軟件威脅，若不迅速采取行動(dòng)，你可能會(huì)成為下一個(gè)受害者。以下是你需要了解的內(nèi)容。

勒索軟件威脅日益加劇

壞消息是，盡管2024年執(zhí)法部門成功打擊了LockBit等主要犯罪運(yùn)營者，但勒索軟件威脅并未消失，而且聯(lián)邦調(diào)查局(FBI)剛剛就一名臭名昭著的網(wǎng)絡(luò)犯罪分子發(fā)布了一份緊急安全警告。好消息是，雖然勒索軟件運(yùn)營者的威脅正在增長(zhǎng)，但增長(zhǎng)速度相對(duì)較慢。1月31日的一份分析報(bào)告顯示，2023年至2024年，攻擊事件增加了15%，但2月20日賽門鐵克威脅獵手團(tuán)隊(duì)發(fā)布的報(bào)告顯示，增長(zhǎng)速度要慢得多，僅為3%。無論你更傾向于哪個(gè)數(shù)字，得出的結(jié)論都是相同的，即勒索軟件威脅將持續(xù)存在。然而，在增長(zhǎng)方面，有一個(gè)特定的勒索軟件組織比其他組織更具問題性。據(jù)Reliaquest 2月18日的分析，BlackLock的增長(zhǎng)幅度超過了其他所有組織，自2024年第三季度以來，其活動(dòng)增加了驚人的1425%。盡管這僅使其在犯罪勒索軟件生態(tài)系統(tǒng)中排名第七，但Reliaquest警告稱，低估這一“針對(duì)Windows、VMware ESXi和Linux環(huán)境”的威脅風(fēng)險(xiǎn)將是極其危險(xiǎn)的。

關(guān)于BlackLock勒索軟件威脅，你需要了解的內(nèi)容

Reliaquest的安全分析師預(yù)測(cè)，如果當(dāng)前趨勢(shì)持續(xù)下去，BlackLock將在2025年成為最活躍的勒索軟件運(yùn)營者。鑒于已觀察到其目標(biāo)涵蓋廣泛行業(yè)和地理區(qū)域的企業(yè)，這可能會(huì)帶來非常嚴(yán)重的問題。通過分析該組織及其主要發(fā)言人(在地下犯罪論壇上被稱為$$$，是的，真的如此)的活動(dòng)，以及通信和基礎(chǔ)設(shè)施情報(bào)，Reliaquest揭示了BlackLock在競(jìng)爭(zhēng)激烈的犯罪環(huán)境中脫穎而出的特點(diǎn)。

其中之一是BlackLock保護(hù)數(shù)據(jù)泄露網(wǎng)站免受研究人員和受害者下載外泄數(shù)據(jù)并評(píng)估任何泄露事件范圍的方式。發(fā)送過多GET請(qǐng)求后，它將停止發(fā)送響應(yīng)，自動(dòng)化或頻繁的數(shù)據(jù)下載嘗試只會(huì)收到除聯(lián)系方式外為空的文件?！斑@是我們從未見過的技術(shù)，”研究人員表示，“可能是為了阻撓調(diào)查人員，迫使他們手動(dòng)逐個(gè)下載文件?！边@種障礙被有效地用來加大對(duì)目標(biāo)企業(yè)的壓力，迫使它們?cè)谟袡C(jī)會(huì)正確評(píng)估事件影響范圍之前就迅速支付贖金。

BlackLock還積極招募被稱為“流量引導(dǎo)者”的關(guān)鍵人物，以協(xié)助勒索軟件攻擊的早期階段。通過前述$$$發(fā)布的廣告和帖子，這些同伙被雇用來“引導(dǎo)惡意流量，將受害者引向有害內(nèi)容，并幫助為攻擊活動(dòng)建立初始訪問”。隨著BlackLock引起FBI等機(jī)構(gòu)的注意，其強(qiáng)調(diào)增長(zhǎng)而非運(yùn)營安全的做法可能會(huì)帶來問題?！跋啾戎?，”研究人員表示，“尋求更高級(jí)別開發(fā)人員和程序員職位的帖子要謹(jǐn)慎得多，相關(guān)細(xì)節(jié)和簡(jiǎn)歷會(huì)私下共享?！?/p>

減輕BlackLock勒索軟件威脅的方法

Reliaquest建議，企業(yè)應(yīng)緊急確保所有ESXi環(huán)境的安全。具體而言，其提出了需要采取的三個(gè)步驟：

1. 禁用不必要的服務(wù)——關(guān)閉未使用的管理服務(wù)，如vMotion、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)和冗余HTTPS接口，以最小化攻擊面。

2. 啟用嚴(yán)格鎖定模式——為增加BlackLock利用弱接口的難度，配置ESXi主機(jī)以僅通過vCenter進(jìn)行管理。

3. 限制網(wǎng)絡(luò)訪問——使用身份感知防火墻或嚴(yán)格的訪問控制列表，阻止BlackLock訪問ESXi主機(jī)或橫向移動(dòng)。

此外，報(bào)告總結(jié)指出，在保護(hù)任何網(wǎng)絡(luò)免受勒索軟件威脅時(shí)，應(yīng)理所當(dāng)然地啟用多因素身份驗(yàn)證，并在不必要的系統(tǒng)上禁用遠(yuǎn)程桌面協(xié)議。