Blacklock勒索病毒围城：解密双重勒索时代的“暗链破局战”

在网络安全这片没有硝烟的索病索战场上 ，新的毒围代威胁总是层出不穷 。如今，城解一个名为BlackLock(又称El Dorado或Eldorado)的密双勒索软件即服务(RaaS)组织正悄然崛起，据ReliaQuest预测 ，重勒战它有望在2025年成为最活跃的暗链勒索软件组织 。这一预测并非凭空而来，破局而是索病索基于BlackLock在俄语论坛RAMP上的异常活跃表现和良好声誉，以及其积极招募诱导者、毒围代初始访问中介(IAB)和附属成员的高防服务器城解强势举动 。

BlackLock ，密双这个在2024年初崭露头角的重勒战组织 ，凭借其定制开发的暗链勒索软件 ，已经让不少企业和个人闻风丧胆。破局这款软件不仅针对Windows
、索病索VMWare ESXi和Linux等多种环境，还会在加密受害者数据的同时 ，窃取这些数据作为筹码，威胁如果不支付赎金就公开。更狡猾的是，源码下载其数据泄露网站采用了特殊技巧，让受害者和研究人员难以快速下载泄露的文件 
，从而增加了调查攻击影响的难度
。

BlackLock的攻击手段可谓多种多样，且狡猾至极。他们通过Windows命令行删除文件/卷的阴影副本，让受害者无法恢复被加密的数据;入侵高权限的ESXi服务账户“vpxuser” ，获取对虚拟机环境的控制权;还使用传递(NTLM)哈希技术访问目标网络内的其他主机，模板下载进一步扩大攻击范围 。更令人担忧的是 ，BlackLock已经表现出对利用Microsoft Entra Connect功能入侵目标本地环境的浓厚兴趣 
。对于在一个Entra租户下管理多个域的组织来说，这种战术无疑带来了特权升级的重大风险
 ，以及可能发生重大数据泄露的潜在威胁 。

在RAMP论坛上 ，BlackLock的代表化名为“$$$”，他们异常活跃
，免费模板不断建立联系和信任。他们参与各种论坛板块的聊天 ，与开发人员 、初始访问中介、潜在附属成员和竞争对手团伙保持密切联系 。这种互动不仅展示了BlackLock的社交能力，更揭示了他们愿意学习并吸收其他人开发的工具和功能
，将其纳入自己的攻击工具包中的野心 。监测这些互动，可以为防御者提供BlackLock恶意软件演变的早期指标，亿华云从而制定主动防御策略
。

BlackLock之所以能够在短时间内迅速崛起，除了其强大的攻击手段外，还得益于其熟练的诱导者和初始访问中介 。他们为进入目标组织网络打下了坚实的基础 ，使得BlackLock的附属成员能够更轻松地实施攻击。然而 ，这也可能表明，核心RaaS组织有时就是实施攻击的主体 ，他们并不仅仅满足于提供服务和工具
，云计算而是亲自下场参与攻击 。

几周前 ，$$$在RAMP上发出了一则询问
，寻求能够利用Active Directory和Entra ID之间的同步机制入侵本地用户的人才。他们希望与这些人合作，共同实施更复杂的攻击。这一举动无疑揭示了BlackLock对身份和访问管理系统的浓厚兴趣 ，以及他们利用混合基础设施进行更复杂攻击的野心。为了扩展其能力，BlackLock可能会招募擅长VMware AirWatch、Cisco Identity Services Engine等身份和访问管理系统的专家。这种专业知识将使BlackLock能够更轻松地操纵受信任的机制 ，提升特权、保持持久性并入侵连接的域。

面对BlackLock的迅速崛起和不断进化的攻击手段 ，各组织必须提前应对威胁，加强防御措施。凭借这些竞争优势
，BlackLock几乎肯定会登上“2025年最活跃的勒索软件组织”榜首 。因此 ，各组织不能掉以轻心，必须做好充分的准备来抵御这些攻击者。

除了基础安全措施如启用多因素身份验证(MFA)和在不必要的系统上禁用远程桌面协议(RDP)外，防御BlackLock还需要战略性地关注其目标基础设施。特别是对于ESXi环境，各组织应关闭未使用的管理服务和冗余HTTPS接口，以最小化攻击面;阻止与ESXi主机的直接连接，并将其配置为仅通过vCenter进行管理;使用身份感知防火墙或严格的访问控制列表来限制对ESXi主机的网络访问 ，仅允许通过安全的跳转服务器或隔离网络上的带外管理系统访问它们。

同时，为了防止BlackLock(和其他组织)利用Entra ID - Active Directory同步流进行攻击，各组织应加强属性同步规则、监控和限制密钥注册，并实施条件访问策略。这些策略可以有效防止BlackLock注册恶意密钥或执行未经授权的同步 ，从而保护组织的网络安全不受侵害 。

总之
，BlackLock的崛起对网络安全构成了严重威胁。其活跃的招募策略、多样的攻击手段和不断进化的攻击工具包使得防御者面临巨大挑战 。为了抵御BlackLock的攻击，各组织必须加强防御措施 ，战略性地关注其目标基础设施，并采取一系列具体的技术措施来保护ESXi环境和防止利用Entra ID - Active Directory同步流进行攻击。同时
，还需要加强员工的安全意识培训 ，提高他们对勒索软件等网络威胁的识别和防范能力
。只有这样 ，才能在网络安全这场没有硝烟的战争中立于不败之地，确保组织的网络安全和数据安全 。