BlackLock勒索软件正迅速崛起,成为全球新威胁!
勒索软件不仅持续威胁着各企业,而且有新的证据表明,这一问题再次呈现增长趋势。如今,一个特定的勒索软件运营者正引起特别关注。据Reliaquest的安全分析师称,BlackLock是全球增长最快的勒索软件威胁,若不迅速采取行动,你可能会成为下一个受害者。以下是你需要了解的内容。
勒索软件威胁日益加剧
坏消息是,尽管2024年执法部门成功打击了LockBit等主要犯罪运营者,但勒索软件威胁并未消失,而且联邦调查局(FBI)刚刚就一名臭名昭著的网络犯罪分子发布了一份紧急安全警告。好消息是,虽然勒索软件运营者的威胁正在增长,但增长速度相对较慢。1月31日的一份分析报告显示,2023年至2024年,攻击事件增加了15%,但2月20日赛门铁克威胁猎手团队发布的报告显示,增长速度要慢得多,仅为3%。无论你更倾向于哪个数字,得出的结论都是相同的,即勒索软件威胁将持续存在。然而,在增长方面,有一个特定的勒索软件组织比其他组织更具问题性。据Reliaquest 2月18日的分析,BlackLock的增长幅度超过了其他所有组织,自2024年第三季度以来,其活动增加了惊人的1425%。尽管这仅使其在犯罪勒索软件生态系统中排名第七,但Reliaquest警告称,低估这一“针对Windows、VMware ESXi和Linux环境”的威胁风险将是极其危险的。
关于BlackLock勒索软件威胁,你需要了解的内容
Reliaquest的安全分析师预测,如果当前趋势持续下去,BlackLock将在2025年成为最活跃的勒索软件运营者。鉴于已观察到其目标涵盖广泛行业和地理区域的企业,这可能会带来非常严重的问题。通过分析该组织及其主要发言人(在地下犯罪论坛上被称为$$$,是的,真的如此)的活动,以及通信和基础设施情报,Reliaquest揭示了BlackLock在竞争激烈的犯罪环境中脱颖而出的特点。
其中之一是BlackLock保护数据泄露网站免受研究人员和受害者下载外泄数据并评估任何泄露事件范围的方式。发送过多GET请求后,它将停止发送响应,自动化或频繁的数据下载尝试只会收到除联系方式外为空的文件。“这是我们从未见过的技术,”研究人员表示,“可能是为了阻挠调查人员,迫使他们手动逐个下载文件。”这种障碍被有效地用来加大对目标企业的压力,迫使它们在有机会正确评估事件影响范围之前就迅速支付赎金。
BlackLock还积极招募被称为“流量引导者”的关键人物,以协助勒索软件攻击的早期阶段。通过前述$$$发布的广告和帖子,这些同伙被雇用来“引导恶意流量,将受害者引向有害内容,并帮助为攻击活动建立初始访问”。随着BlackLock引起FBI等机构的注意,其强调增长而非运营安全的做法可能会带来问题。“相比之下,”研究人员表示,“寻求更高级别开发人员和程序员职位的帖子要谨慎得多,相关细节和简历会私下共享。”
减轻BlackLock勒索软件威胁的方法
Reliaquest建议,企业应紧急确保所有ESXi环境的安全。具体而言,其提出了需要采取的三个步骤:
1. 禁用不必要的服务——关闭未使用的管理服务,如vMotion、简单网络管理协议(SNMP)和冗余HTTPS接口,以最小化攻击面。
2. 启用严格锁定模式——为增加BlackLock利用弱接口的难度,配置ESXi主机以仅通过vCenter进行管理。
3. 限制网络访问——使用身份感知防火墙或严格的访问控制列表,阻止BlackLock访问ESXi主机或横向移动。
此外,报告总结指出,在保护任何网络免受勒索软件威胁时,应理所当然地启用多因素身份验证,并在不必要的系统上禁用远程桌面协议。
