安恒信息安全情报中心(ASEC)发布了对BlackLock勒索软件团伙的详细分析——这是一个相对较新的勒索软件组织,已在网络犯罪生态中迅速崛起。该团伙据信于2024年3月左右出现,2024年6月通过启动专用泄露站点(DLS)首次公开其活动。ASEC指出:“网站上已发布多家受影响公司的信息,表明该团伙已秘密活跃数月。”
该团伙最初以“El Dorado”为名活动,2024年9月左右更名为BlackLock。据ASEC分析:“BlackLock勒索软件使用跨平台编程语言Go开发,可攻击Windows、Linux和VMware ESXi环境,攻击面广泛,能够同时攻陷多种操作系统。”
已确认的受害者主要位于美国,涵盖企业和地方政府机构,但在韩国、日本等国家也出现攻击案例。受影响行业包括公共机构、咨询、教育科研、交通、制造,甚至高尔夫度假村等 hospitality 领域。
攻击特性:灵活执行与加密机制
BlackLock设计注重操作灵活性,支持多种执行参数:
-
-path:指定目标路径; -
-perc:设置文件块加密百分比; -
-sort:优先加密重要文件夹。
这些功能允许攻击者精确控制加密过程。ASEC强调:“执行时,BlackLock支持通过命令行参数启用或禁用特定功能。若不带任何选项启动,默认加密整个本地驱动器。”
文件加密方面,BlackLock使用Go的crypto库,为每个文件生成唯一的FileKey和Nonce,通过XChaCha20流密码加密数据。为保护解密密钥,团伙采用椭圆曲线Diffie-Hellman(ECDH)算法,确保只有攻击者能恢复共享密钥。
ASEC解释:“为确保支付赎金后文件可解密,BlackLock会将加密密钥和元数据附加到每个文件末尾……元数据随后通过secretbox.Seal()用共享密钥和Nonce加密。”
威胁升级:隐蔽删除备份与多平台风险
受感染系统的每个受影响目录中都会显示名为HOW_RETURN_YOUR_DATA.TXT的勒索信。ASEC指出:“若不支付赎金,攻击者威胁将破坏受害者的业务网站,或向客户和公众泄露敏感数据。”
与许多仅通过命令行指令操作的勒索软件家族不同,BlackLock以更隐蔽的方式删除备份:“它构造可执行WMI查询的COM对象实例,用于枚举和删除卷影副本。此过程由shellcode执行……增加了检测难度。”
尽管该团伙目前主要针对Windows和SMB网络共享,但恶意软件也可编译为Linux和VMware ESXi版本,对企业服务器和虚拟化环境均构成威胁。
发表评论
您还未登录,请先登录。
登录