BlackLock 勒索软件日益成为各行各业严重威胁

来自国外DarkAtlas研究团队研究发现，BlackLock成为2025年最活跃的 RaaS集团的崛起。BlackLock可能成为最活跃的远程即服务2025 年的勒索软件威胁。最新威胁报告《揭秘全球增长最快的勒索软件运营商 BlackLock》强调了该组织在整个行业中的关键相关性，因为该组织的策略不可预测且缺乏运营模式。该报告详细分析了BlackLock（也称为El Dorado）在 2024 年的快速崛起，重点介绍了它如何迅速将自己定位为主要勒索软件威胁。它还包括战略性、可操作的建议，以帮助组织减轻与这一新兴威胁相关的风险。

BlackLock已成为 2025 年最臭名昭著的勒索软件组织之一，因其在泄密网站上公开列出众多知名受害者而声名狼藉。他们的迅速崛起和复杂的攻击方法使其成为网络安全领域的主要威胁，凸显了加强防御策略和主动缓解威胁的迫切需要。

2025年BlackLock勒索软件对各个行业的影响— 杂项和技术行业受到的打击最为严重，凸显了迫切需要制定强有力的网络安全策略来减轻未来的威胁。

BlackLock会用随机字符串重命名加密文件，并附加同样随机的扩展名。加密过程完成后，会创建一封名为“ HOW_RETURN_YOUR_DATA.TXT ”的勒索信。

根据DarkAtlas 研究团队的研究，今年前两个月，BlackLock 勒索软件对各个行业的组织发动了48 次攻击。建筑业和房地产公司已成为最常被攻击的行业之一，凸显了 BlackLock 攻击模式的战略转变。 “像BlackLock这样的勒索软件操作日益复杂，再加上勒索软件即服务 (RaaS) 平台的兴起，威胁行为者可以更轻松地迅速扩大其业务规模，” DarkAtlas 研究团队报告称。“这种激增反映出一种趋势，即网络犯罪分子越来越多地关注具有高价值资产和复杂运营结构的行业。” DarkAtlas 研究团队表示，该行业的一些攻击也反映了地缘政治和网络犯罪利益的一致性。“受当前地缘政治气氛影响，黑客组织越来越多地利用勒索软件（尤其是BlackLock ）开展攻击，以建筑业和技术等关键行业为目标，以最大限度地破坏和获取经济利益，”该团队指出。这并不是说其他行业可以幸免。据DarkAtlas 研究团队称，IT 服务提供商也是 BlackLock 勒索软件的主要目标，因为一次入侵就能让该组织危害下游企业客户。此外，近四分之一的攻击针对的是政府机构，威胁者同时使用勒索软件和更具破坏性的擦除器来最大限度地破坏和利用。

与BlackLock勒索软件相关的电报账户被称为“ Mamona RIP”，强调该组织在加密消息平台上进行协调和沟通。

BlackLock的历史和演变

DarkAtlas研究小组最近收集的情报表明，BlackLock实际上是臭名昭著的Eldorado勒索软件组织的换名版。在面临执法部门和网络安全研究人员越来越严格的审查和压力后，Eldorado 运营者以 BlackLock 的名义重新出现，改进了运营模式并增强了能力。此次战略性换名遵循了勒索软件组织的常见模式 — — 类似于从Babuk到BabLock以及从 REvil到BlackMatter 的转变— — 威胁行为者的目的是逃避检测、破坏归因工作并以新身份招募新的成员。BlackLock 保留了 Eldorado 恶意软件的技术基础，包括

使用Golang进行跨平台攻击及其复杂的加密机制（ChaCha20和RSA-OAEP），但引入了更有针对性的攻击策略和更快的加密速度，以增加对受害者的压力。这种策略和基础设施的连续性强烈表明，BlackLock并不是一个全新的参与者，而是Eldorado的战略演变，将自己定位为RaaS生态系统的主导力量。

2024 年 3 月，地下论坛“ RAMP ”上发布了与勒索软件组织Eldorado相关的新联盟计划。该帖子宣传了勒索软件锁和加载器，同时积极招募渗透测试人员来支持该组织不断增长的业务。DarkAtlas研究小组一直在密切监视 Eldorado，并发现了有关该组织结构、方法和技术能力的重要细节。

我们的分析师渗透了 Eldorado 的网络，并确定该组织的代表是俄语使用者。提供给关联方的勒索软件构建器需要提升网络访问权限（包括域管理员的密码或NTLM（新技术 LAN 管理器）哈希），以创建定制的勒索软件样本，旨在最大限度地造成损害并增加付款的可能性。

Eldorado 的武器库中有两个版本的恶意软件——适用于 Windows 和 Linux。但是，这种开发是独一无二的，不依赖于以前发布的构建器源。例如，2022 年 9 月 21 日，LockBit 3.0 勒索软件的构建器被泄露，允许各种威胁行为者创建自己的版本并使用其强大的加密和规避技术进行多次引人注目的攻击。同样，Babuk 勒索软件源代码于 2021 年 9 月 1 日泄露，导致不同的团体创建了多种勒索软件毒株，以利用和窃取目标网络中的数据。值得注意的

例子包括 LIMPOPO（又名SOCOTRA、FORMOSA、SEXi）勒索软件组织。

BlackLock 积极招募关键人员，即所谓的“贩卖者”，以支持勒索软件攻击的早期阶段。这些人会驱动恶意流量，引导受害者访问有害内容，并帮助建立活动的初始访问权限。贩卖者的招聘信息明确列出了要求，表明 BlackLock 急于快速招募候选人——通常优先考虑速度而不是运营安全。

相比之下，高级开发人员和程序员职位的招聘信息则更加谨慎，招聘人员的详细信息和简历都是私下分享的。这些职位可能涉及更大的信任度、更高的薪酬和长期承诺，这使得招聘过程更加微妙。

El Dorado 的勒索软件采用了先进的加密技术，利用 Go 编程语言实现跨平台兼容性。它使用Chacha20进行文件加密，使用RSA-OAEP进行密钥加密，从而能够使用服务器消息块 (SMB) 协议加密共享网络上的文件。

El Dorado 的目标是 Acumen Group，这是一家专门从事企业资源规划 (ERP) 解决方案的 IT 服务公司。此次攻击扰乱了运营，加密了关键数据并要求支付赎金才能释放数据。

该组织正在积极招募拥有全套自有工具的黑客。该组织承诺承担所有相关费用，并提供利润分享协议作为交易的一部分。帖子最后直接表明了意图：“当然，主要目标是获得网络访问权限并确保支付赎金。 ”

先进、自主开发

Eldorado与其他勒索软件运营商相比，拥有明显的优势，因为他们开发自己的恶意软件，而不是依赖泄露的构建器源。该组织制作了两个不同的勒索软件版本，一个适用于Windows，一个适用于Linux，这使得他们能够高效地跨不同操作系统发起攻击。

这种独立的开发方式使Eldorado与之前利用泄露源代码的勒索软件组织有所区别：

LockBit 3.0 ：该构建器于2022年9月泄露，使得其他威胁行为者能够启动定制版本，从而引发高影响力攻击的激增。

Babuk ：Babuk勒索软件构建器于2021年9月泄露，由此引发了LIMPOPO（SOCOTRA、FORMOSA、SEXi）勒索软件、BabLock和Estate勒索软件等衍生产品。

BlackLock为何重要—以及如何防范它

BlackLock崛起成为一家主要的 RaaS（勒索软件即服务）运营商，凸显了勒索软件领域的广泛转变 — — 这是组织无法忽视的。该组织成功瞄准了包括建筑、房地产和政府机构在内的众多行业，这既反映了勒索软件操作的日益复杂化，也反映了复杂商业网络的脆弱性日益增加。

那么这为什么重要呢？因为BlackLock的方法——快速加密、有针对性的攻击和战略性地使用泄漏站点——正在成为现代勒索软件活动的蓝图。即使BlackLock本身最终解散或更名，它建立的策略和基础设施也可能继续存在，影响未来的威胁行为者。附属机构和衍生公司可能会出现，为新的勒索软件变种带来相同的运营效率和积极的定位策略。

了解BlackLock的策略对于构建弹性防御策略至关重要。RaaS 平台的兴起使威胁行为者比以往任何时候都更容易扩大其行动范围，降低进入门槛并增加攻击量。无法适应这种不断变化的威胁形势的组织可能会成为轻易攻击的目标。

这正是DarkAtlas Squad可以提供帮助的地方。我们的团队专注于勒索软件缓解和恢复，提供量身定制的解决方案，以加强您的组织对BlackLock等不断演变的威胁的防御能力。从高级威胁检测和事件响应到安全数据恢复和战略咨询服务，DarkAtlas 提供所需的专业知识，以最大限度地降低风险并在攻击发生时做出有效响应。不要等待下一波勒索软件——立即采取行动保护您的业务。