【深度追踪】BlackLock勒索组织:当黑客反被"黑"的攻防实录
2025年3月,名为BlackLock的勒索组织突然成为全球网络安全焦点。这个由旧团伙Eldorado重组而来的犯罪集团,凭借"勒索软件即服务"模式,半年内攻击量暴涨1425%,被预测可能主导暗网勒索市场。但一场安全公司与黑客的逆向攻防战,揭开了这个组织不为人知的一面。
一、BlackLock的威胁升级
-
全球性攻击:技术、制造、金融等14个行业受害,美、英、阿联酋等15国机构被入侵,46家单位数据被挂上暗网 -
商业模式:通过招募黑客建立地下联盟,利用钓鱼攻击渗透目标系统 -
技术迭代:勒索软件频繁更新,与另一知名勒索软件DragonForce存在代码关联
二、安全公司的"反渗透"突破
2024年圣诞期间,Resecurity公司发现BlackLock暗网数据泄露站点(DLS)存在本地文件包含漏洞(LFI),相当于找到犯罪集团的"数字后门":
-
漏洞利用:通过路径遍历(如 http://暗网站点/view.php?file=../../../etc/passwd)获取服务器敏感信息 -
关键收获: -
犯罪者操作日志(包括MEGA云盘账号、文件传输记录) -
勒索软件源码(揭示与DragonForce的潜在关联) -
攻击时间表(预测并拦截了87%的预谋攻击)
三、犯罪手法的技术解剖
-
数据搬运术:使用Rclone工具将数TB数据上传至MEGA云盘,甚至在受害者电脑直接安装MEGA客户端 -
隐身策略:通过YOPmail创建8个临时邮箱注册云存储账户 -
代码进化: -
BlackLock采用Go语言编写,DragonForce使用Visual C++ -
勒索信动态生成技术疑似继承自DragonForce -
核心成员"$$$"曾短暂运营Mamona勒索项目(2025年3月上线即被攻破)
四、暗网世界的权力游戏
Resecurity渗透后,BlackLock内部接连出现异常:
-
同行攻击:竞争对手DragonForce公开其内部聊天记录 -
人员异动:核心成员"$$$"突然沉寂,疑似转移至新项目 -
市场整合:业内推测勒索软件即服务(RaaS)领域可能进入重组期
五、网络安全防御新范式
此次事件凸显两种对抗思路的转变:
-
主动反制:利用黑客自身漏洞获取情报,提前预警132家潜在受害者 -
溯源打击:通过分析服务器日志锁定3家ISP和5个托管服务商,切断部分攻击链 -
技术联防:逆向工程提取的勒索软件特征已加入主流杀毒软件病毒库
Resecurity负责人坦言:"我们不再被动记录受害数据,而是让黑客成为被狩猎的对象。"当前BlackLock虽未消失,但其攻击成本已显著提高。这场攻防战证明,在AI防御技术普及的今天,人的攻防智慧仍是网络安全的核心变量。
参考:https://www.resecurity.com/blog/article/blacklock-ransomware-a-late-holiday-gift-with-intrusion-into-the-threat-actors-infrastructure
原文始发于微信公众号(独眼情报):【黑客反被黑】BlackLock 勒索组织在线基础设施被研究人员渗透
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论