Програма-вимагач BlackLock

Програмне забезпечення-вимагач продовжує залишатися однією з найшкідливіших кіберзагроз, а атаки стають складнішими та впливають на них. Групи кіберзлочинців постійно вдосконалюють свою тактику, націлюючись як на підприємства, так і на окремих осіб. Однією з найновіших і найбільш тривожних загроз є BlackLock, складна група програм-вимагачів, яка швидко набула популярності. Розуміння того, як працює BlackLock, і впровадження ефективних заходів безпеки має вирішальне значення для зменшення ризиків і захисту цінних даних.

BlackLock: Ребрендована загроза, що розвивається

Програмне забезпечення-вимагач BlackLock вперше з’явилося в березні 2024 року під назвою El Dorado, а пізніше того ж року було перейменовано. Він працює за моделлю Ransomware-as-a-Service (RaaS), де розробники надають шкідливе програмне забезпечення афілійованим особам в обмін на частку виплати викупу.

Ця група швидко розширила свою діяльність, здійснивши принаймні 48 атак протягом перших двох місяців 2025 року, в основному націлених на будівництво та індустрію нерухомості. Його програмне забезпечення-вимагач шифрує файли в середовищах Windows, VMware ESXi та Linux, хоча варіант Linux ще розробляється. Жертви отримують повідомлення про викуп під назвою «HOW_RETURN_YOUR_DATA.TXT», у яких вимагають платежі в біткойнах, щоб запобігти витоку даних.

Розширення темної мережі BlackLock

Зростанню BlackLock сприяли агресивні спроби вербування на підпільних форумах, таких як RAMP, російськомовна платформа для боротьби з кіберзлочинністю. Він активно шукає:

• Філіали для здійснення атак
• Посередники початкового доступу для надання точок входу в мережі
• Торговці, які маніпулюють веб-трафіком, щоб заразити жертв зловмисним програмним забезпеченням

Група програм-вимагачів використовує методи контрспостереження, щоб перешкоджати дослідникам безпеки, ускладнюючи відстеження викрадених даних або аналіз шаблонів атак.

Технічні можливості: Спадщина Ельдорадо

Широко поширена думка, що BlackLock — це ребрендингова версія El Dorado, що відповідає типовій моделі еволюції програм-вимагачів. Подібно до того, як Babuk став BabLock, а REvil відродився як BlackMatter , BlackLock зберігає більшу частину технічної основи El Dorado, але з ключовими вдосконаленнями:

• Мова програмування : розроблено на Golang, що дозволяє здійснювати кросплатформні атаки.

• Методи шифрування : ChaCha20 використовується для шифрування файлів, а RSA-OAEP використовується для захисту ключів, що робить дешифрування майже неможливим без закритого ключа зловмисника.

• Експлуатація SMB : здатність шифрувати файли в спільних мережах, посилюючи вплив на корпоративне середовище.

• Більша швидкість шифрування : розроблено для тиску на жертв шляхом прискорення процесу шифрування.

Як захистити свою організацію від BlackLock

Запобігання зараженню програмами-вимагачами вимагає багаторівневого підходу до безпеки. Ось найкращі методи зміцнення вашого захисту:

1. Підтримуйте безпечні резервні копії за межами сайту : зберігайте кілька копій важливих даних, включно з автономними резервними копіями, до яких не можуть отримати доступ програми-вимагачі. Регулярно перевіряйте процедури відновлення резервної копії, щоб переконатися в працездатності в разі атаки.
2. Застосовуйте суворі заходи безпеки : оновлюйте програмне забезпечення та системи, щоб виправити вразливості, перш ніж зловмисники використають їх. Розгорніть рішення для виявлення та реагування на кінцеві точки (EDR) для проактивного пом’якшення загроз. Використовуйте сегментацію мережі, щоб обмежити здатність програм-вимагачів поширюватися між системами.
3. Посилення автентифікації та контролю доступу : застосуйте багатофакторну автентифікацію (MFA) для всіх конфіденційних облікових записів. Реалізуйте доступ із найменшими привілеями — надаючи користувачам лише дозволи, необхідні для їхніх ролей. Використовуйте надійні унікальні паролі та розгляньте менеджери паролів, щоб запобігти витоку облікових даних.
4. Підвищення обізнаності співробітників : навчіть співробітників розпізнавати фішингові електронні листи та інші поширені точки входу для програм-вимагачів. Запрограмуйте регулярні тренінги з питань безпеки, щоб інформувати персонал про нові загрози. Встановіть чіткі протоколи реагування на інциденти, щоб забезпечити швидкі дії під час атаки.

Висновок: будьте попереду нових загроз програм-вимагачів

Програма-вимагач BlackLock швидко зарекомендувала себе як серйозна загроза в екосистемі кіберзлочинності. Завдяки використанню перевіреної моделі RaaS, ребрендингу El Dorado та розгортанню складних методів шифрування, він позиціонував себе як домінуючу загрозу в 2025 році. Найкращим захистом від програм-вимагачів є запобігання: організації повинні вживати надійних заходів безпеки, підтримувати надійне резервне копіювання та навчати співробітників мінімізувати ризики. Оскільки програмне забезпечення-вимагач продовжує розвиватися, випередження цих загроз є ключем до стійкості кібербезпеки.