Дослідники AhnLab Security Intelligence Center повідомили про діяльність угруповання BlackLock – оновленого варіанта раніше відомого здирницького ПЗ El Dorado. Перші ознаки її активності датуються березнем 2024, а власний сайт для публікації викрадених даних запрацював у червні того ж року.
BlackLock написаний мовою Go і здатний працювати у різних середовищах: Windows, Linux та VMware ESXi. Цей підхід дозволяє атакуючим використовувати одне збирання для компрометації змішаних інфраструктур. Найбільше інцидентів зафіксовано в США, проте атаки також торкнулися організації в Південній Кореї, Японії та країнах Європи.
Під удар потрапляють державні установи, освітні та дослідницькі організації, транспортні та будівельні компанії, виробничі підприємства та навіть об’єкти дозвілля. За даними фахівців, розробники пов’язані з російськомовними форумами та використовують модель Ransomware-as-a-Service для залучення партнерів.
BlackLock застосовує шифрування ChaCha20 з генерацією унікального ключа для кожного файлу, зберігає метадані у зашифрованому вигляді з використанням ECDH та видаляє резервні копії через приховану процедуру на базі WMI. Після завершення атаки користувачі одержують вимогу про викуп у файлі HOW_RETURN_YOUR_DATA.TXT. Джерело