在網(wǎng)絡(luò)安全這片沒有硝煙的戰(zhàn)場上，新的威脅總是層出不窮。如今，一個名為BlackLock(又稱El Dorado或Eldorado)的勒索軟件即服務(wù)(RaaS)組織正悄然崛起，據(jù)ReliaQuest預(yù)測，它有望在2025年成為最活躍的勒索軟件組織。這一預(yù)測并非憑空而來，而是基于BlackLock在俄語論壇RAMP上的異?；钴S表現(xiàn)和良好聲譽，以及其積極招募誘導(dǎo)者、初始訪問中介(IAB)和附屬成員的強勢舉動。

BlackLock，這個在2024年初嶄露頭角的組織，憑借其定制開發(fā)的勒索軟件，已經(jīng)讓不少企業(yè)和個人聞風(fēng)喪膽。這款軟件不僅針對Windows、VMWare ESXi和Linux等多種環(huán)境，還會在加密受害者數(shù)據(jù)的同時，竊取這些數(shù)據(jù)作為籌碼，威脅如果不支付贖金就公開。更狡猾的是，其數(shù)據(jù)泄露網(wǎng)站采用了特殊技巧，讓受害者和研究人員難以快速下載泄露的文件，從而增加了調(diào)查攻擊影響的難度。

BlackLock的攻擊手段可謂多種多樣，且狡猾至極。他們通過Windows命令行刪除文件/卷的陰影副本，讓受害者無法恢復(fù)被加密的數(shù)據(jù);入侵高權(quán)限的ESXi服務(wù)賬戶“vpxuser”，獲取對虛擬機環(huán)境的控制權(quán);還使用傳遞(NTLM)哈希技術(shù)訪問目標網(wǎng)絡(luò)內(nèi)的其他主機，進一步擴大攻擊范圍。更令人擔(dān)憂的是，BlackLock已經(jīng)表現(xiàn)出對利用Microsoft Entra Connect功能入侵目標本地環(huán)境的濃厚興趣。對于在一個Entra租戶下管理多個域的組織來說，這種戰(zhàn)術(shù)無疑帶來了特權(quán)升級的重大風(fēng)險，以及可能發(fā)生重大數(shù)據(jù)泄露的潛在威脅。

在RAMP論壇上，BlackLock的代表化名為“$$$”，他們異?；钴S，不斷建立聯(lián)系和信任。他們參與各種論壇板塊的聊天，與開發(fā)人員、初始訪問中介、潛在附屬成員和競爭對手團伙保持密切聯(lián)系。這種互動不僅展示了BlackLock的社交能力，更揭示了他們愿意學(xué)習(xí)并吸收其他人開發(fā)的工具和功能，將其納入自己的攻擊工具包中的野心。監(jiān)測這些互動，可以為防御者提供BlackLock惡意軟件演變的早期指標，從而制定主動防御策略。

BlackLock之所以能夠在短時間內(nèi)迅速崛起，除了其強大的攻擊手段外，還得益于其熟練的誘導(dǎo)者和初始訪問中介。他們?yōu)檫M入目標組織網(wǎng)絡(luò)打下了堅實的基礎(chǔ)，使得BlackLock的附屬成員能夠更輕松地實施攻擊。然而，這也可能表明，核心RaaS組織有時就是實施攻擊的主體，他們并不僅僅滿足于提供服務(wù)和工具，而是親自下場參與攻擊。

幾周前，$$$在RAMP上發(fā)出了一則詢問，尋求能夠利用Active Directory和Entra ID之間的同步機制入侵本地用戶的人才。他們希望與這些人合作，共同實施更復(fù)雜的攻擊。這一舉動無疑揭示了BlackLock對身份和訪問管理系統(tǒng)的濃厚興趣，以及他們利用混合基礎(chǔ)設(shè)施進行更復(fù)雜攻擊的野心。為了擴展其能力，BlackLock可能會招募擅長VMware AirWatch、Cisco Identity Services Engine等身份和訪問管理系統(tǒng)的專家。這種專業(yè)知識將使BlackLock能夠更輕松地操縱受信任的機制，提升特權(quán)、保持持久性并入侵連接的域。

面對BlackLock的迅速崛起和不斷進化的攻擊手段，各組織必須提前應(yīng)對威脅，加強防御措施。憑借這些競爭優(yōu)勢，BlackLock幾乎肯定會登上“2025年最活躍的勒索軟件組織”榜首。因此，各組織不能掉以輕心，必須做好充分的準備來抵御這些攻擊者。

除了基礎(chǔ)安全措施如啟用多因素身份驗證(MFA)和在不必要的系統(tǒng)上禁用遠程桌面協(xié)議(RDP)外，防御BlackLock還需要戰(zhàn)略性地關(guān)注其目標基礎(chǔ)設(shè)施。特別是對于ESXi環(huán)境，各組織應(yīng)關(guān)閉未使用的管理服務(wù)和冗余HTTPS接口，以最小化攻擊面;阻止與ESXi主機的直接連接，并將其配置為僅通過vCenter進行管理;使用身份感知防火墻或嚴格的訪問控制列表來限制對ESXi主機的網(wǎng)絡(luò)訪問，僅允許通過安全的跳轉(zhuǎn)服務(wù)器或隔離網(wǎng)絡(luò)上的帶外管理系統(tǒng)訪問它們。

同時，為了防止BlackLock(和其他組織)利用Entra ID - Active Directory同步流進行攻擊，各組織應(yīng)加強屬性同步規(guī)則、監(jiān)控和限制密鑰注冊，并實施條件訪問策略。這些策略可以有效防止BlackLock注冊惡意密鑰或執(zhí)行未經(jīng)授權(quán)的同步，從而保護組織的網(wǎng)絡(luò)安全不受侵害。

總之，BlackLock的崛起對網(wǎng)絡(luò)安全構(gòu)成了嚴重威脅。其活躍的招募策略、多樣的攻擊手段和不斷進化的攻擊工具包使得防御者面臨巨大挑戰(zhàn)。為了抵御BlackLock的攻擊，各組織必須加強防御措施，戰(zhàn)略性地關(guān)注其目標基礎(chǔ)設(shè)施，并采取一系列具體的技術(shù)措施來保護ESXi環(huán)境和防止利用Entra ID - Active Directory同步流進行攻擊。同時，還需要加強員工的安全意識培訓(xùn)，提高他們對勒索軟件等網(wǎng)絡(luò)威脅的識別和防范能力。只有這樣，才能在網(wǎng)絡(luò)安全這場沒有硝煙的戰(zhàn)爭中立于不敗之地，確保組織的網(wǎng)絡(luò)安全和數(shù)據(jù)安全。