BQTLock: новая политически мотивированная RaaS-платформа с глобальными амбициями

Основателями группы являются Караим Файяд, известный под псевдонимами ZeroDayX или ZeroDayX1, и его сообщник Fuch0u. Оба имеют связи с проксиалевскими хактивистскими группами, включая Liwaa Mohammed, что подтверждается их активностью в Telegram и других социальных сетях. Примечательно, что несмотря на публичные заявления о политических целях, основной движущей силой BQTLock остаётся финансовая выгода. Это создаёт опасный прецедент, когда экономические мотивы маскируются под идеологическую борьбу.

BQTLock работает по модели RaaS, где основная команда разрабатывает вредоносное программное обеспечение, а аффилированные лица проводят атаки, получая долю от выкупа. Группа использует волновую систему дешифрования с требованиями выкупа в криптовалюте Monero (XMR). Зафиксированные demands (требования) варьируются от 13 до 1500 XMR, что в пересчёте на доллары США составляет от нескольких тысяч до сотен тысяч. За неполные три месяца группа заявила о компрометации как минимум трёх организаций, а её предполагаемый доход превысил 1000 XMR.

Среди подтверждённых жертв - сети выпускников вооружённых сил США, инженерная компания eFunda, Inc. и европейский бизнес-сервер. Анализ целевых отраслей показывает, что BQTLock фокусируется на секторах с низким уровнем защиты: здравоохранение, образование, малый и средний бизнес, государственный сектор и критическая инфраструктура. Географически атаки нацелены на США, Израиль и страны Европы, что соответствует их пропагандистскому нарративу.

С технической точки зрения BQTLock демонстрирует быстрое развитие. Вредонос использует гибридное шифрование AES-256 и RSA-4096, распространяется в ZIP-архивах с легитимными библиотеками для обеспечения самодостаточности, а также включает функции против анализа, повышения привилегий и устойчивости. Для взаимодействия с жертвами и управления инфраструктурой активно используются Telegram и Discord. Операторы также разработали конструкторы (Builder) для Windows и Linux, позволяющие аффилированным лицам настраивать параметры атак.

Ключевые рекомендации по защите включают мониторинг подозрительной активности, связанной с созданием учётных записей, использованием служебных утилит и нестандартным сетевым трафиком. В случае инцидента критически важны быстрое отсоединение систем от сети, отключение подозрительных учётных записей и блокировка известных адресов C2. Для профилактики необходимо усилить контроль за учётными записями, обеспечить сегментированное и неизменяемое резервное копирование, а также ограничить выполнение непроверенного кода.

BQTLock представляет собой развивающуюся угрозу, которая, вероятно, будет продолжать эволюционировать, привлекая новых аффилированных лиц и маскируя финансовые преступления под политические действия. Понимание её методов и мотивов необходимо для построения эффективной обороны.

IPv4

• 208.99.44.55
• 92.113.146.56

Domains

• bcoins.online

Onion Domains

• yywhylvqeqynzik6ibocb53o2nat7lmzn5ynjpar3stndzcgmy6dkgid.onion

URLs

• https://guns.lol/zerodayx
• https://t.me/anonlb
• https://t.me/BQTlock
• https://t.me/BQTlock_raas
• https://t.me/BQTosint
• https://t.me/Fuch0u
• https://t.me/liwaamohammad
• https://t.me/ZeroDayX1
• https://x.com/anonlb_
• https://x.com/zerodayx1

Domains

• [email protected]

SHA256

• 00005ed250d85fc47e4c3883b8e6179a9888b8140acfeb94a40edc36bd523adb
• 008ec0226066572f4b27f100d08443120b9dd55cefbec2bbff994b5b552e546c
• 0ccd3f2d7e6637eaf5414e35b97d9d8bf6b8e4182859cace8ca8e02377a4e62a
• 10938c2d01dc999d2fe1f8c635e3705e7e663077935a17e730c849d1191c76ed
• 11affbeb18f4d6edcc9a4be5a82f8e23dfc31178887e97119faa5ddc75990494
• 324eabc27a25f524c94bb62573986b3335ab5181ddc6825d959d16aaaccdc7aa
• 425b2f283b71237276f84d941d9c2982c7f61a9aff12ece10e15065b73b7165e
• 4369aed581de0fe84c25a1ef2c3cf0bb6bf70df8b51fdf38b3b0b2a55f43261b
• 49f89b2fdef345a9d92fc821e4a226d8ac99e4ca0d2d11b5654f6557800b85f2
• 56eec59a5fe3f5a3c2c836701557bf1956770f465cd9e049995b86aef76a3e39
• 590e47944ef0597bf1ff1d41656859b776e7031a4611cbf22d619002cbe49312
• 5b992a3438e344dddcdd66151a40efb3452b2ff37cdc40b37db612afeb29ed29
• 618070d597dd73c43ba5d4bde2baa93a4f6038e3279de3bafe688caa5c409a58
• 780e34c72404fd464669626ae554b81393d2bae95293284b375bb5d989914486
• 862f29aa00bb4ee33729bc6699990dbdf9ef890b8364f8288b173cb1ca5d6787
• 881b048234ebed82339244eb0c18580d785944dc82f83949f6adc1a9bc225c3b
• 9547933dd46501af7fc095a3513e48b81178e344b86e075b679259875f0fd5a7
• 97524f4c582e0fbe46b74a7cfe4db9f078f368520cda25f27a50c5d2c50161f9
• 9cd62dbace3324487124787127cff7c63a9f005d8d3aff9bac28c437e5caefc7
• a6a397fec6c109a1402c6f1144d647843b2093f65fedd27204b40ebeea0640b6
• af90666822646e35eb52248f4a89eb715ce9f44459205bc24827a2aafe053548
• b211537ea626fae4ad2ef5ee2652633dc68aaf20da6eb953a44f266c4106b367
• b61ae633616d7dd29aaf0b170fdfbe8f282c0f8bdcb1c52aedee473ce4bf5789
• b7796a3b1812f329c43d5d37bbb6d8032b7bc06b15af29f555eb3e0c7b1b1c3d
• cd5e7b3b59cea14b804f6c01821d1ab94a0046422fe956f623b238c5db0cac99
• dacbba7f18d0835deb2eeb4e4d82c8f57234767291a90da1a5f3fd02d6bc13c2
• e2622ede1ebe5a37c439a32f0c63c13f893d1e5513b27367502898651cc5464b
• f77c203d0c80598954c06a0f6f0c46f8b885ba423d12a21f13ded0168aa11b10
• fbd67a3bcc964e370931f620a85bf368d7b5797ebc1d53fe3be11a89a90e7961

Wallet

• 89RQN2EUmiX6vL7nTv3viqUAgbDpN4ab329zPCEgbceQJuS233uye4eXtYk3MXAtVoKNMmzgVrxXphLZbJPtearY7QVuApr