BlackLock: новая RaaS-угроза с расширенными возможностями атаки

BlackLock использует модель Ransomware-as-a-Service (RaaS), предлагая партнёрскую программу для специалистов по взлому. Это позволяет группировке быстро расширять экосистему и увеличивать количество атак. По данным исследователей, разработчики BlackLock предположительно говорят на русском языке, что подтверждается лингвистическими особенностями в коде и активностью на русскоязычных форумах, таких как RAMP.

Особенностью BlackLock является использование языка Go, что обеспечивает кроссплатформенность вредоносного программного обеспечения. Это означает, что атаки могут проводиться против Windows, Linux и VMware ESXi, что значительно расширяет потенциальный охват жертв. В основном под удар попадают предприятия и государственные учреждения, но также отмечены случаи атак на организации из сфер образования, транспорта, строительства и других отраслей.

Чёрный софт обладает широким набором функций, управляемых через аргументы командной строки. Например, опция -path позволяет указать путь для шифрования, -delay устанавливает задержку перед началом атаки, а -skip-net отключает обработку сетевых папок. Интересно, что хотя в коде присутствует опция -esxi для атак на VMware, её реализация ещё не завершена. Это свидетельствует о том, что группа продолжает развивать свой инструментарий.

Процесс шифрования построен на использовании алгоритма XChaCha20. Для каждого файла генерируются уникальные ключ (FileKey) и одноразовый номер (Nonce), что усложняет дешифрацию без участия злоумышленников. После шифрования данные для восстановления добавляются в конец файла, но они защищены с помощью обшего ключа, полученного через обмен по алгоритму ECDH (Elliptic-curve Diffie-Hellman). Это означает, что без приватного ключа злоумышленников восстановить данные практически невозможно.

После завершения шифрования во всех каталогах создаётся файл с требованием выкупа - HOW_RETURN_YOUR_DATA.TXT. В нём содержится угроза обнародовать украденные данные или атаковать веб-сайт компании, если жертва откажется платить. Кроме того, BlackLock активно удаляет резервные копии, включая теневые копии VSS (Volume Shadow Copy Service), используя для этого встроенный шелл-код, что дополнительно осложняет восстановление.

Эксперты по безопасности рекомендуют организациям уделять повышенное внимание резервному копированию, обновлению систем, сегментации сетей и обучению сотрудников. Регулярный мониторинг подозрительной активности и использование современных решений для защиты конечных точек также могут помочь снизить риски. Учитывая растущую активность BlackLock, следует ожидать дальнейшего развития их методов и увеличения количества атак в ближайшем будущем.

MD5

• f392807da3ee1f3e9702ce5fa91d418d