BlackLock - новый шифровальщик атакует Windows, Linux и VMware ESXi

Исследователи AhnLab Security Intelligence Center сообщили о деятельности группировки BlackLock — обновлённого варианта ранее известного вымогательского ПО El Dorado. Первые признаки её активности датируются мартом 2024 года, а собственный сайт для публикации похищенных данных заработал в июне того же года.

BlackLock написан на языке Go и способен работать в разных средах: Windows, Linux и VMware ESXi. Этот подход позволяет атакующим использовать одну сборку для компрометации смешанных инфраструктур. Наибольшее число инцидентов зафиксировано в США, однако атаки также затронули организации в Южной Корее, Японии и странах Европы.

Под удар попадают государственные учреждения, образовательные и исследовательские организации, транспортные и строительные компании, производственные предприятия и даже объекты досуга. По данным специалистов, разработчики связаны с русскоязычными форумами и используют модель Ransomware-as-a-Service для привлечения партнёров.

BlackLock применяет шифрование ChaCha20 с генерацией уникального ключа для каждого файла, хранит метаданные в зашифрованном виде с использованием ECDH и удаляет резервные копии через скрытую процедуру на базе WMI. По завершении атаки пользователи получают требование о выкупе в файле HOW_RETURN_YOUR_DATA.TXT.