BlackLock Ransomware

Ransomware vẫn là một trong những mối đe dọa mạng nguy hiểm nhất, với các cuộc tấn công ngày càng phức tạp và có tác động lớn. Các nhóm tội phạm mạng liên tục cải tiến chiến thuật, nhắm vào cả doanh nghiệp và cá nhân. Một trong những mối đe dọa mới nhất và đáng lo ngại nhất là BlackLock, một nhóm ransomware tinh vi đã nhanh chóng trở nên nổi tiếng. Hiểu cách BlackLock hoạt động và triển khai các biện pháp bảo mật hiệu quả là rất quan trọng để giảm thiểu rủi ro và bảo vệ dữ liệu có giá trị.

BlackLock: Một mối đe dọa được đổi tên và đang phát triển

BlackLock Ransomware lần đầu tiên xuất hiện vào tháng 3 năm 2024 dưới tên El Dorado trước khi đổi tên vào cuối năm đó. Nó hoạt động bằng mô hình Ransomware-as-a-Service (RaaS), trong đó các nhà phát triển cung cấp phần mềm độc hại cho các chi nhánh để đổi lấy một phần tiền chuộc.

Nhóm này đã nhanh chóng leo thang hoạt động của mình, tung ra ít nhất 48 cuộc tấn công trong vòng hai tháng đầu năm 2025, chủ yếu nhắm vào các ngành xây dựng và bất động sản. Phần mềm tống tiền của nhóm này mã hóa các tệp trên môi trường Windows, VMware ESXi và Linux, mặc dù biến thể Linux vẫn đang được phát triển. Nạn nhân nhận được các ghi chú đòi tiền chuộc có tiêu đề 'HOW_RETURN_YOUR_DATA.TXT', yêu cầu thanh toán bằng Bitcoin để ngăn chặn rò rỉ dữ liệu.

Sự mở rộng của Dark Web của BlackLock

Sự trỗi dậy của BlackLock được thúc đẩy bởi những nỗ lực tuyển dụng tích cực trên các diễn đàn ngầm như RAMP, một nền tảng tội phạm mạng tiếng Nga. Nó tích cực tìm kiếm:

• Các chi nhánh sẽ phát động tấn công
• Các nhà môi giới truy cập ban đầu cung cấp các điểm vào mạng
• Những kẻ buôn người thao túng lưu lượng truy cập web để lây nhiễm phần mềm độc hại cho nạn nhân

Nhóm ransomware sử dụng các kỹ thuật chống giám sát để cản trở các nhà nghiên cứu bảo mật, khiến việc theo dõi dữ liệu bị đánh cắp hoặc phân tích các kiểu tấn công trở nên khó khăn hơn.

Khả năng kỹ thuật: Di sản của El Dorado

BlackLock được cho là phiên bản đổi tên của El Dorado, theo mô hình điển hình trong quá trình tiến hóa của ransomware. Cũng giống như Babuk trở thành BabLock và REvil tái xuất hiện với tên gọi BlackMatter , BlackLock vẫn giữ nguyên phần lớn nền tảng kỹ thuật của El Dorado nhưng có những cải tiến quan trọng:

• Ngôn ngữ lập trình : Được phát triển bằng Golang, cho phép tấn công đa nền tảng.

• Phương pháp mã hóa : ChaCha20 được sử dụng để mã hóa tập tin và RSA-OAEP được sử dụng để bảo vệ khóa, khiến việc giải mã gần như không thể thực hiện được nếu không có khóa riêng của kẻ tấn công.

• Khai thác SMB : Có khả năng mã hóa các tập tin trên mạng chia sẻ, tăng tác động lên môi trường doanh nghiệp.

• Tốc độ mã hóa nhanh hơn : Được thiết kế để gây áp lực lên nạn nhân bằng cách tăng tốc quá trình mã hóa.

Cách bảo vệ tổ chức của bạn khỏi BlackLock

Ngăn ngừa nhiễm ransomware đòi hỏi một phương pháp bảo mật nhiều lớp. Sau đây là các biện pháp tốt nhất để tăng cường khả năng phòng thủ của bạn:

1. Duy trì sao lưu an toàn ngoài trang web : Giữ nhiều bản sao lưu dữ liệu quan trọng, bao gồm các bản sao lưu ngoại tuyến mà ransomware không thể tiếp cận. Kiểm tra thường xuyên các quy trình khôi phục sao lưu để đảm bảo chức năng trong trường hợp bị tấn công.
2. Áp dụng các biện pháp bảo mật mạnh mẽ : Cập nhật phần mềm và hệ thống để vá lỗ hổng trước khi kẻ tấn công khai thác chúng. Triển khai các giải pháp phát hiện và phản hồi điểm cuối (EDR) để chủ động giảm thiểu mối đe dọa. Sử dụng phân đoạn mạng để hạn chế khả năng lây lan của phần mềm tống tiền trên các hệ thống.
3. Tăng cường Kiểm soát Xác thực và Truy cập : Áp dụng xác thực đa yếu tố (MFA) trên tất cả các tài khoản nhạy cảm. Triển khai quyền truy cập ít đặc quyền nhất—chỉ cấp cho người dùng các quyền cần thiết cho vai trò của họ. Sử dụng mật khẩu mạnh, duy nhất và cân nhắc sử dụng trình quản lý mật khẩu để ngăn chặn rò rỉ thông tin xác thực.
4. Nâng cao nhận thức của nhân viên : Đào tạo nhân viên nhận biết email lừa đảo và các điểm vào phổ biến khác của ransomware. Lập trình đào tạo nhận thức bảo mật thường xuyên để nhân viên luôn được thông báo về các mối đe dọa mới nổi. Thiết lập các giao thức ứng phó sự cố rõ ràng để đảm bảo hành động nhanh chóng trong quá trình tấn công.

Kết luận: Luôn đi trước các mối đe dọa Ransomware mới nổi

BlackLock Ransomware đã nhanh chóng khẳng định mình là mối đe dọa đáng kể trong hệ sinh thái tội phạm mạng. Bằng cách tận dụng mô hình RaaS đã được chứng minh, đổi tên từ El Dorado và triển khai các kỹ thuật mã hóa tinh vi, nó đã định vị mình là mối đe dọa thống trị vào năm 2025. Phòng thủ tốt nhất chống lại ransomware là phòng ngừa—các tổ chức phải áp dụng các biện pháp bảo mật mạnh mẽ, duy trì sao lưu mạnh mẽ và giáo dục nhân viên để giảm thiểu rủi ro. Khi ransomware tiếp tục phát triển, việc đi trước các mối đe dọa này là chìa khóa để phục hồi an ninh mạng.