BlackLock,這個在2024年初嶄露頭角的組織,憑借其定制開發的勒索軟件,已經讓不少企業和個人聞風喪膽。這款軟件不僅針對Windows、VMWare ESXi和Linux等多種環境,還會在加密受害者數據的同時,竊取這些數據作為籌碼,威脅如果不支付贖金就公開。更狡猾的是,其數據泄露網站采用了特殊技巧,讓受害者和研究人員難以快速下載泄露的文件,從而增加了調查攻擊影響的難度。
BlackLock的攻擊手段可謂多種多樣,且狡猾至極。他們通過Windows命令行刪除文件/卷的陰影副本,讓受害者無法恢復被加密的數據;入侵高權限的ESXi服務賬戶“vpxuser”,獲取對虛擬機環境的控制權;還使用傳遞(NTLM)哈希技術訪問目標網絡內的其他主機,進一步擴大攻擊范圍。更令人擔憂的是,BlackLock已經表現出對利用Microsoft Entra Connect功能入侵目標本地環境的濃厚興趣。對于在一個Entra租戶下管理多個域的組織來說,這種戰術無疑帶來了特權升級的重大風險,以及可能發生重大數據泄露的潛在威脅。
在RAMP論壇上,BlackLock的代表化名為“$$$”,他們異常活躍,不斷建立聯系和信任。他們參與各種論壇板塊的聊天,與開發人員、初始訪問中介、潛在附屬成員和競爭對手團伙保持密切聯系。這種互動不僅展示了BlackLock的社交能力,更揭示了他們愿意學習并吸收其他人開發的工具和功能,將其納入自己的攻擊工具包中的野心。監測這些互動,可以為防御者提供BlackLock惡意軟件演變的早期指標,從而制定主動防御策略。
BlackLock之所以能夠在短時間內迅速崛起,除了其強大的攻擊手段外,還得益于其熟練的誘導者和初始訪問中介。他們為進入目標組織網絡打下了堅實的基礎,使得BlackLock的附屬成員能夠更輕松地實施攻擊。然而,這也可能表明,核心RaaS組織有時就是實施攻擊的主體,他們并不僅僅滿足于提供服務和工具,而是親自下場參與攻擊。
幾周前,$$$在RAMP上發出了一則詢問,尋求能夠利用Active Directory和Entra ID之間的同步機制入侵本地用戶的人才。他們希望與這些人合作,共同實施更復雜的攻擊。這一舉動無疑揭示了BlackLock對身份和訪問管理系統的濃厚興趣,以及他們利用混合基礎設施進行更復雜攻擊的野心。為了擴展其能力,BlackLock可能會招募擅長VMware AirWatch、Cisco Identity Services Engine等身份和訪問管理系統的專家。這種專業知識將使BlackLock能夠更輕松地操縱受信任的機制,提升特權、保持持久性并入侵連接的域。
面對BlackLock的迅速崛起和不斷進化的攻擊手段,各組織必須提前應對威脅,加強防御措施。憑借這些競爭優勢,BlackLock幾乎肯定會登上“2025年最活躍的勒索軟件組織”榜首。因此,各組織不能掉以輕心,必須做好充分的準備來抵御這些攻擊者。
除了基礎安全措施如啟用多因素身份驗證(MFA)和在不必要的系統上禁用遠程桌面協議(RDP)外,防御BlackLock還需要戰略性地關注其目標基礎設施。特別是對于ESXi環境,各組織應關閉未使用的管理服務和冗余HTTPS接口,以最小化攻擊面;阻止與ESXi主機的直接連接,并將其配置為僅通過vCenter進行管理;使用身份感知防火墻或嚴格的訪問控制列表來限制對ESXi主機的網絡訪問,僅允許通過安全的跳轉服務器或隔離網絡上的帶外管理系統訪問它們。
同時,為了防止BlackLock(和其他組織)利用Entra ID - Active Directory同步流進行攻擊,各組織應加強屬性同步規則、監控和限制密鑰注冊,并實施條件訪問策略。這些策略可以有效防止BlackLock注冊惡意密鑰或執行未經授權的同步,從而保護組織的網絡安全不受侵害。
總之,BlackLock的崛起對網絡安全構成了嚴重威脅。其活躍的招募策略、多樣的攻擊手段和不斷進化的攻擊工具包使得防御者面臨巨大挑戰。為了抵御BlackLock的攻擊,各組織必須加強防御措施,戰略性地關注其目標基礎設施,并采取一系列具體的技術措施來保護ESXi環境和防止利用Entra ID - Active Directory同步流進行攻擊。同時,還需要加強員工的安全意識培訓,提高他們對勒索軟件等網絡威脅的識別和防范能力。只有這樣,才能在網絡安全這場沒有硝煙的戰爭中立于不敗之地,確保組織的網絡安全和數據安全。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號