BlackLock勒索軟件正迅速崛起，成為全球新威脅!

勒索軟件不僅持續(xù)威脅著各企業(yè)，而且有新的證據(jù)表明，這一問題再次呈現(xiàn)增長趨勢。如今，一個特定的勒索軟件運營者正引起特別關(guān)注。據(jù)Reliaquest的安全分析師稱，BlackLock是全球增長最快的勒索軟件威脅，若不迅速采取行動，你可能會成為下一個受害者。以下是你需要了解的內(nèi)容。

勒索軟件威脅日益加劇

壞消息是，盡管2024年執(zhí)法部門成功打擊了LockBit等主要犯罪運營者，但勒索軟件威脅并未消失，而且聯(lián)邦調(diào)查局(FBI)剛剛就一名臭名昭著的網(wǎng)絡(luò)犯罪分子發(fā)布了一份緊急安全警告。好消息是，雖然勒索軟件運營者的威脅正在增長，但增長速度相對較慢。1月31日的一份分析報告顯示，2023年至2024年，攻擊事件增加了15%，但2月20日賽門鐵克威脅獵手團隊發(fā)布的報告顯示，增長速度要慢得多，僅為3%。無論你更傾向于哪個數(shù)字，得出的結(jié)論都是相同的，即勒索軟件威脅將持續(xù)存在。然而，在增長方面，有一個特定的勒索軟件組織比其他組織更具問題性。據(jù)Reliaquest 2月18日的分析，BlackLock的增長幅度超過了其他所有組織，自2024年第三季度以來，其活動增加了驚人的1425%。盡管這僅使其在犯罪勒索軟件生態(tài)系統(tǒng)中排名第七，但Reliaquest警告稱，低估這一“針對Windows、VMware ESXi和Linux環(huán)境”的威脅風險將是極其危險的。

關(guān)于BlackLock勒索軟件威脅，你需要了解的內(nèi)容

Reliaquest的安全分析師預測，如果當前趨勢持續(xù)下去，BlackLock將在2025年成為最活躍的勒索軟件運營者。鑒于已觀察到其目標涵蓋廣泛行業(yè)和地理區(qū)域的企業(yè)，這可能會帶來非常嚴重的問題。通過分析該組織及其主要發(fā)言人(在地下犯罪論壇上被稱為$$$，是的，真的如此)的活動，以及通信和基礎(chǔ)設(shè)施情報，Reliaquest揭示了BlackLock在競爭激烈的犯罪環(huán)境中脫穎而出的特點。

其中之一是BlackLock保護數(shù)據(jù)泄露網(wǎng)站免受研究人員和受害者下載外泄數(shù)據(jù)并評估任何泄露事件范圍的方式。發(fā)送過多GET請求后，它將停止發(fā)送響應(yīng)，自動化或頻繁的數(shù)據(jù)下載嘗試只會收到除聯(lián)系方式外為空的文件。“這是我們從未見過的技術(shù)，”研究人員表示，“可能是為了阻撓調(diào)查人員，迫使他們手動逐個下載文件。”這種障礙被有效地用來加大對目標企業(yè)的壓力，迫使它們在有機會正確評估事件影響范圍之前就迅速支付贖金。

BlackLock還積極招募被稱為“流量引導者”的關(guān)鍵人物，以協(xié)助勒索軟件攻擊的早期階段。通過前述$$$發(fā)布的廣告和帖子，這些同伙被雇用來“引導惡意流量，將受害者引向有害內(nèi)容，并幫助為攻擊活動建立初始訪問”。隨著BlackLock引起FBI等機構(gòu)的注意，其強調(diào)增長而非運營安全的做法可能會帶來問題?！跋啾戎?，”研究人員表示，“尋求更高級別開發(fā)人員和程序員職位的帖子要謹慎得多，相關(guān)細節(jié)和簡歷會私下共享?！?/p>

減輕BlackLock勒索軟件威脅的方法

Reliaquest建議，企業(yè)應(yīng)緊急確保所有ESXi環(huán)境的安全。具體而言，其提出了需要采取的三個步驟：

1. 禁用不必要的服務(wù)——關(guān)閉未使用的管理服務(wù)，如vMotion、簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)和冗余HTTPS接口，以最小化攻擊面。

2. 啟用嚴格鎖定模式——為增加BlackLock利用弱接口的難度，配置ESXi主機以僅通過vCenter進行管理。

3. 限制網(wǎng)絡(luò)訪問——使用身份感知防火墻或嚴格的訪問控制列表，阻止BlackLock訪問ESXi主機或橫向移動。

此外，報告總結(jié)指出，在保護任何網(wǎng)絡(luò)免受勒索軟件威脅時，應(yīng)理所當然地啟用多因素身份驗證，并在不必要的系統(tǒng)上禁用遠程桌面協(xié)議。