Reliaquest’e göre, Blacklock 2025’te Hizmet Olarak En Aktif Fidye Yazılımı (RAAS) kıyafeti olma yolunda.
Başarısı öncelikle fidye yazılımı odaklı Rus forumu rampasında alışılmadık derecede aktif varlıkları ve iyi itibarları ve perdelerin agresif işe alımlarından (kurbanları zararlı içeriğe/yazılıma yönlendiren bireyler), başlangıç erişim brokerlerine (IAB’ler) ve bağlı kuruluşlar.
Blacklock nedir?
Blacklock (aka El Dorado veya Eldorado) 2024’ün başlarında ortaya çıktı. Windows, VMware ESXI ve Linux ortamlarını hedefleyebilen özel yapım fidye yazılımı kullanıyor, ancak grup kurbanların verilerini de söndürüyor ve fidye isn ise yayınlamakla tehdit ediyor ‘ T ödendi.
Veri sızıntı sitesi, hem kurbanların hem de araştırmacıların sızdırılan dosyaları hızlı bir şekilde indirmelerini önlemek için hileler kullanıyor, bu da Blacklock’un saldırılarını araştırmalarına yardımcı olabilir.
Saldırılar sırasında grup/bağlı kuruluşları tarafından kullanılan bilinen taktikler şunları içerir:
- Windows komut satırı üzerinden dosyaların/hacimlerin gölge kopyalarının silinmesi
- Son derece ayrıcalıklı ESXI hizmet hesabının uzlaşması “vpxuser”
- Hedef ağlarındaki diğer ana bilgisayarlara erişmek için (NTLM) karma tekniğinin geçişinin kullanılması.
Reliaquest tehdit araştırmacılarına göre, Microsoft Entra Connect’in geleneksel güvenlik kontrollerini tetiklemeden hedeflerin şirket içi ortamlarından ödün verme yeteneklerinden yararlanmaya ilgi gösterdiler.
“Birin altında birden çok alan yöneten kuruluşlar için [Entra] Kiracı, bu taktik önemli bir ayrıcalık artış riski ve büyük bir ihlal potansiyeli yaratıyor ”dedi.
Ne beklemeli?
Blacklock’un “$$$” ile geçen Rampa Forumu temsilcisi oldukça aktiftir: bağlantı kuruyorlar ve güven oluşturuyorlar, çeşitli forum bölümlerinde sohbetler yapıyorlar ve genellikle geliştiricilere, ilk erişim brokerlerine, potansiyel bağlı kuruluşlara ulaşıyorlar. ve rakip çeteler.
Blacklock’un diğer fidye yazılımı ve kötü amaçlı yazılım operatörleri ile etkileşimleri, başkaları tarafından geliştirilen araç ve kapabilitleri saldırı araç setlerine öğrenmeye ve dahil etmeye istekli olduklarını göstermektedir. Araştırmacılar, “Bu etkileşimlerin izlenmesi, Blacklock’un kötü amaçlı yazılım evriminin erken göstergelerini sağlayarak proaktif savunma stratejilerine izin verebilir” dedi.
Hedef organizasyonların ağlarına bir ayak almak için yetenekli kaçakçılar ve başlangıç erişim brokerleri kullanmak, grubun bağlı kuruluşları için işi kolaylaştırır, ancak aynı zamanda çekirdek Raas grubunun saldırıları sürdürenler olduğunu da gösterebilir.
Birkaç hafta önce, $$$ RAMP’ten Active Directory ve Entra ID arasındaki senkronizasyon mekaniğinden yararlanabilecek kişilerden, şirket içi kullanıcıları (Specterops ‘Daniel Heinsen’in bir yayınında açıklandığı gibi) ödünç vermek için istedi. bir işbirliği için.
$$$ Entra kimliğinden yararlanabilen kullanıcıları arıyor – Active Directory Senkronizasyon Mekanizmaları (Kaynak: Reliaquest)
“Şirket içi ve bulut ortamları arasındaki senkronizasyon akışlarından yararlanarak, saldırganlar ayrıcalıkları yükseltmek, kalıcılığı korumak ve bağlı alanları tehlikeye atmak için güvenilir mekanizmaları manipüle edebilir. Yeteneklerini genişletmek için, Blacklock muhtemelen yetenekli uzmanları işe alacak [identity and access management] VMware Airwatch ve Cisco Identity Services Engine gibi sistemler. Bu uzmanlık, Blacklock’un daha sofistike saldırılar için hibrit altyapılardan yararlanmasına izin verecektir ”dedi.
İlk erişim problemi çözüldükçe, grubun bir sonraki saldırı dalgalarını planlarken yeterince bağlı kuruluşa katılma konusunda hiçbir sorun yaşamıyor. Bazı durumlarda, mevcut her bir yuvayı doldurması sadece günler sürer.
Tehditin önünde nasıl çekilir?
Tüm bu rekabetçi avantajlarla, Blacklock’un “2025’teki en aktif fidye yazılımı grubu” listesinin en üstünde yer alıyor ve kuruluşlar bu saldırganlara karşı savunmaları desteklemek için iyi olacak gibi görünüyor.
Araştırmacılar, “BlackLock’a karşı tanımlanmanın hedefli altyapısına stratejik odaklanmaya yönelik olarak,“ Çok faktörlü kimlik doğrulamasını (MFA) etkinleştirmek ve uzak masaüstü protokolünü (RDP) devre dışı bırakmak gibi temel güvenlik önlemlerine ek olarak ”dedi.
ESXI ortamlarını güvence altına almak için kuruluşlar:
- Saldırı yüzeyini en aza indirmek için kullanılmayan yönetim hizmetlerini ve gereksiz HTTPS arayüzlerini kapatın
- ESXI ana bilgisayarlarına doğrudan bağlantıları önleyin ve bunları yalnızca vCenter aracılığıyla yönetime izin verecek şekilde yapılandırın
- Kimlik farkında olan güvenlik duvarları veya katı erişim kontrol listeleri kullanılarak ESXI ana bilgisayarlarına ağ erişimini kısıtlayın, yalnızca güvenli atlama sunucuları veya izole ağlardaki bant dışı yönetim sistemleri aracılığıyla bunlara erişim sağlar.
BlackLock’un (ve diğerlerinin) entra kimliğinden yararlanmasını önlemek için – Active Directory senkronizasyon akışları, Sertleştirme Özellik Senkronizasyon Kuralları Sertleştirilmesini, Anahtar Kayıtları İzleme ve Kısıtlama ve Koşullu Erişim Politikalarının Uygulanması (BlackLock’un Hogue Anahtarları Kaydetmesini Önlemek İçin veya İcra Edilmemesini Önlemek İçin senkronizasyonlar).