【黑客反被黑】BlackLock 勒索组织在线基础设施被研究人员渗透

【深度追踪】BlackLock勒索组织：当黑客反被"黑"的攻防实录

2025年3月，名为BlackLock的勒索组织突然成为全球网络安全焦点。这个由旧团伙Eldorado重组而来的犯罪集团，凭借"勒索软件即服务"模式，半年内攻击量暴涨1425%，被预测可能主导暗网勒索市场。但一场安全公司与黑客的逆向攻防战，揭开了这个组织不为人知的一面。

一、BlackLock的威胁升级

• 全球性攻击：技术、制造、金融等14个行业受害，美、英、阿联酋等15国机构被入侵，46家单位数据被挂上暗网
• 商业模式：通过招募黑客建立地下联盟，利用钓鱼攻击渗透目标系统
• 技术迭代：勒索软件频繁更新，与另一知名勒索软件DragonForce存在代码关联

二、安全公司的"反渗透"突破

2024年圣诞期间，Resecurity公司发现BlackLock暗网数据泄露站点（DLS）存在本地文件包含漏洞（LFI），相当于找到犯罪集团的"数字后门"：

• 漏洞利用：通过路径遍历（如http://暗网站点/view.php?file=../../../etc/passwd）获取服务器敏感信息
• 关键收获：
• 犯罪者操作日志（包括MEGA云盘账号、文件传输记录）
• 勒索软件源码（揭示与DragonForce的潜在关联）
• 攻击时间表（预测并拦截了87%的预谋攻击）

三、犯罪手法的技术解剖

1. 数据搬运术：使用Rclone工具将数TB数据上传至MEGA云盘，甚至在受害者电脑直接安装MEGA客户端
2. 隐身策略：通过YOPmail创建8个临时邮箱注册云存储账户
3. 代码进化：
• BlackLock采用Go语言编写，DragonForce使用Visual C++
• 勒索信动态生成技术疑似继承自DragonForce
• 核心成员"$$$"曾短暂运营Mamona勒索项目（2025年3月上线即被攻破）

四、暗网世界的权力游戏

Resecurity渗透后，BlackLock内部接连出现异常：

• 同行攻击：竞争对手DragonForce公开其内部聊天记录
• 人员异动：核心成员"$$$"突然沉寂，疑似转移至新项目
• 市场整合：业内推测勒索软件即服务（RaaS）领域可能进入重组期

五、网络安全防御新范式

此次事件凸显两种对抗思路的转变：

1. 主动反制：利用黑客自身漏洞获取情报，提前预警132家潜在受害者
2. 溯源打击：通过分析服务器日志锁定3家ISP和5个托管服务商，切断部分攻击链
3. 技术联防：逆向工程提取的勒索软件特征已加入主流杀毒软件病毒库

Resecurity负责人坦言："我们不再被动记录受害数据，而是让黑客成为被狩猎的对象。"当前BlackLock虽未消失，但其攻击成本已显著提高。这场攻防战证明，在AI防御技术普及的今天，人的攻防智慧仍是网络安全的核心变量。

参考：https://www.resecurity.com/blog/article/blacklock-ransomware-a-late-holiday-gift-with-intrusion-into-the-threat-actors-infrastructure