A BlackLock ransomware-csoport, más néven "El Dorado" vagy "Eldorado", 2024 márciusában jelent meg a kiberbűnözés színterén. Azóta tevékenységük drámai növekedést mutatott: 2024 utolsó negyedévében 1425%-os emelkedést regisztráltak az adatközlési bejegyzéseik számában az előző negyedévhez képest. Ez a gyors terjeszkedés aggodalmat keltett a kiberbiztonsági szakértők körében, akik attól tartottak, hogy a BlackLock 2025-ben a legdominánsabb ransomware-szolgáltatóvá válhat.

A BlackLock sajátosságai és működési módszerei

A BlackLock egyik fő megkülönböztető jegye, hogy saját fejlesztésű malware-t használ, szemben más csoportokkal, amelyek kiszivárgott ransomware-készítőket alkalmaznak. Ez a megközelítés megnehezíti a biztonsági kutatók számára a kártevő elemzését és az ellene való védekezést. A csoport Windows, VMware ESXi és Linux rendszereket céloz meg, bár a Linux változat kevésbé fejlett.

A BlackLock kettős zsarolási taktikát alkalmaz: nemcsak titkosítja az áldozatok adatait, hanem ellopja azokat, majd a nyilvánosságra hozatallal fenyegetőzik, ha nem teljesítik a váltságdíj követeléseit. Adatközlő oldaluk (Data Leak Site - DLS) fejlett funkciókkal rendelkezik, amelyek megnehezítik a kutatók és az áldozatok számára a kiszivárgott adatokhoz való hozzáférést és azok elemzését. Ez a stratégia fokozza a nyomást az áldozatokon, hogy gyorsan fizessenek, mielőtt teljes mértékben felmérhetnék a károkat.

A Resecurity beavatkozása és eredményei

A Resecurity kiberbiztonsági vállalat szakértői felfedeztek egy sebezhetőséget a BlackLock DLS oldalán a TOR hálózaton. Ezt kihasználva hozzáfértek a csoport belső infrastruktúrájához, és értékes információkat gyűjtöttek tevékenységükről, beleértve a hálózati infrastruktúrát, a bejelentkezési időpontokat, valamint a MEGA fájlmegosztó fiókokat, amelyeket az ellopott adatok tárolására használtak. Ez az áttörés lehetővé tette a szakértők számára, hogy előre jelezzék és megelőzzék a csoport által tervezett támadásokat, valamint figyelmeztessék a potenciális áldozatokat.

2025 február 10-ig a Resecurity 46 áldozatot azonosított, akik különböző szektorokban tevékenykedtek, beleértve az elektronikát, az akadémiai intézményeket, vallási szervezeteket, védelmi ipart, egészségügyet, technológiát, IT/MSP szolgáltatókat és kormányzati ügynökségeket. Az érintett szervezetek olyan országokban működtek, mint Argentína, Aruba, Brazília, Kanada, Kongó, Horvátország, Peru, Franciaország, Olaszország, Spanyolország, Hollandia, Egyesült Államok, Egyesült Királyság és az Egyesült Arab Emírségek.

A BlackLock működési stratégiája és toborzási módszerei

A BlackLock aktívan jelen van a RAMP nevű orosz nyelvű kiberbűnözői fórumon, ahol "traffereket" toboroznak a támadások korai szakaszában való részvételre, beleértve a rosszindulatú forgalom irányítását és a kezdeti hozzáférés megszerzését. A fejlesztői és programozói pozíciók betöltése diszkrétebben történik, ami nagyobb bizalmat és hosszú távú elköteleződést igényel. Érdekes módon az affiliate toborzás gyakran megelőzi a jelentősebb támadási hullámokat, ami tudatos stratégiára utal.

Technikai részletek és támadási módszerek

A BlackLock támadásai több szakaszból állnak:

1. Kezdeti kompromittálás: Adathalász e-mailek, rosszindulatú mellékletek vagy kompromittált RDP hitelesítő adatok segítségével jutnak be a hálózatba.
2. Oldalirányú mozgás: Legális adminisztrációs eszközöket, például PowerShellt és PsExec-et használnak a hálózaton belüli mozgáshoz.
3. Jogosultság kiterjesztése: Hitelesítő adatok ellopásával magasabb szintű hozzáférést szereznek a kritikus rendszerekhez.
4. Adatexfiltráció: Az érzékeny adatok ellopása a titkosítás előtt, hogy növeljék a zsarolás hatékonyságát.

A BlackLock az El Dorado Ransomware márkaváltásaként ismert. A Resecurity szerint ugyanazok a szereplők több más prominens projekthez is köthetők, köztük a Mamona Ransomware-hez. Az utolsó projekt sem tartott sokáig. Karol Paciorek, a CSIRT KNF munkatársa azonosította a Mamona DLS lehetséges clearnet IP-jét, ami pánikot keltett a leányvállalatok körében.

A BlackLock és a Mamona Ransomware is offline állapotba került, és jelenleg nem érhetők el. Nevezetesen egy másik prominens zsarolóvírus-csoport, a DragonForce vette át a vezetést, kihasználva ezeket az eseményeket. A Resecurity kiemelte, hogy lehetséges, hogy a DragonForce átveszi a BlackLock affiliate bázisát, és a csoport sikeresen átáll az új irányítókra.

nuce.hu