【黑客反被黑】BlackLock 勒索组织在线基础设施被研究人员渗透

admin 2025年3月31日14:39:15评论15 views字数 1299阅读4分19秒阅读模式
【黑客反被黑】BlackLock 勒索组织在线基础设施被研究人员渗透

【深度追踪】BlackLock勒索组织:当黑客反被"黑"的攻防实录

2025年3月,名为BlackLock的勒索组织突然成为全球网络安全焦点。这个由旧团伙Eldorado重组而来的犯罪集团,凭借"勒索软件即服务"模式,半年内攻击量暴涨1425%,被预测可能主导暗网勒索市场。但一场安全公司与黑客的逆向攻防战,揭开了这个组织不为人知的一面。

一、BlackLock的威胁升级

  • 全球性攻击:技术、制造、金融等14个行业受害,美、英、阿联酋等15国机构被入侵,46家单位数据被挂上暗网
  • 商业模式:通过招募黑客建立地下联盟,利用钓鱼攻击渗透目标系统
  • 技术迭代:勒索软件频繁更新,与另一知名勒索软件DragonForce存在代码关联

二、安全公司的"反渗透"突破

2024年圣诞期间,Resecurity公司发现BlackLock暗网数据泄露站点(DLS)存在本地文件包含漏洞(LFI),相当于找到犯罪集团的"数字后门":

  • 漏洞利用:通过路径遍历(如http://暗网站点/view.php?file=../../../etc/passwd)获取服务器敏感信息
  • 关键收获
    • 犯罪者操作日志(包括MEGA云盘账号、文件传输记录)
    • 勒索软件源码(揭示与DragonForce的潜在关联)
    • 攻击时间表(预测并拦截了87%的预谋攻击)

三、犯罪手法的技术解剖

  1. 数据搬运术:使用Rclone工具将数TB数据上传至MEGA云盘,甚至在受害者电脑直接安装MEGA客户端
  2. 隐身策略:通过YOPmail创建8个临时邮箱注册云存储账户
  3. 代码进化
    • BlackLock采用Go语言编写,DragonForce使用Visual C++
    • 勒索信动态生成技术疑似继承自DragonForce
    • 核心成员"$$$"曾短暂运营Mamona勒索项目(2025年3月上线即被攻破)

四、暗网世界的权力游戏

Resecurity渗透后,BlackLock内部接连出现异常:

  • 同行攻击:竞争对手DragonForce公开其内部聊天记录
  • 人员异动:核心成员"$$$"突然沉寂,疑似转移至新项目
  • 市场整合:业内推测勒索软件即服务(RaaS)领域可能进入重组期

五、网络安全防御新范式

此次事件凸显两种对抗思路的转变:

  1. 主动反制:利用黑客自身漏洞获取情报,提前预警132家潜在受害者
  2. 溯源打击:通过分析服务器日志锁定3家ISP和5个托管服务商,切断部分攻击链
  3. 技术联防:逆向工程提取的勒索软件特征已加入主流杀毒软件病毒库

Resecurity负责人坦言:"我们不再被动记录受害数据,而是让黑客成为被狩猎的对象。"当前BlackLock虽未消失,但其攻击成本已显著提高。这场攻防战证明,在AI防御技术普及的今天,人的攻防智慧仍是网络安全的核心变量

参考:https://www.resecurity.com/blog/article/blacklock-ransomware-a-late-holiday-gift-with-intrusion-into-the-threat-actors-infrastructure

原文始发于微信公众号(独眼情报):【黑客反被黑】BlackLock 勒索组织在线基础设施被研究人员渗透

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月31日14:39:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【黑客反被黑】BlackLock 勒索组织在线基础设施被研究人员渗透https://cn-sec.com/archives/3901659.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息