(https://i.postimg.cc/nrzJyZqT/Ransomware.png) (https://postimg.cc/bDKWn7C2)
El grupo de ransomware BlackLock se ha convertido en uno de los operadores más prolíficos del ecosistema Ransomware as a Service (RaaS), y los expertos advierten que podría acelerar su crecimiento durante este año.
También conocido como El Dorado, BlackLock fue clasificado como el séptimo grupo de ransomware más activo según la cantidad de publicaciones en su sitio de filtración de datos a fines de 2024, lo que marca un crecimiento del 1425% desde el tercer trimestre.
La empresa de seguridad ReliaQuest publicó recientemente una investigación sobre el grupo y su ascenso a la prominencia, detallando sus TTP y por qué la operación ha tenido tanto éxito en los últimos años.
El grupo estuvo entre los tres colectivos más activos en el foro RAMP, cuya comunidad incluyó a BlackLock entre los principales operadores de ransomware en términos de su reputación en el sitio.
Reliaquest señaló que el ascenso de BlackLock ha sido "rápido y estratégico" y predijo que si la actividad del grupo continúa a este ritmo, se convertirá en el grupo de ransomware más activo en 2025.
Se sabe que el grupo utiliza tácticas de doble extorsión mediante las cuales cifran datos y al mismo tiempo roban información confidencial, con la esperanza de ejercer más presión sobre las víctimas con la posible amenaza de exponer la información robada.
Su ransomware está diseñado a medida para atacar entornos Windows, VMWare ESXi y Linux, aunque Reliquest señaló que la variante de Linux es menos madura que su contraparte de Windows.
Por qué BlackLock se destaca del resto
El informe identifica una serie de formas en las que BlackLock se ha distinguido en lo que es un panorama de extorsión digital altamente competitivo, en primer lugar con lo que describe como un sitio de filtraciones inusual que utiliza una combinación de trucos únicos destinados a evitar que los investigadores descarguen datos robados.
El sitio está "repleto" de una serie de características que Reliaquest especula que tienen como objetivo evitar que las organizaciones objetivo evalúen el alcance de sus infracciones.
"Esto, a su vez, aumenta la presión sobre las organizaciones para que paguen rápidamente los rescates, a menudo antes de que puedan evaluar completamente la situación", dijeron los investigadores.
"Estas características también resaltan la sofisticación técnica de BlackLock, lo que refuerza su reputación como una operación pulida y profesional".
El uso de malware personalizado por parte de BlackLock es otro indicador de su sofisticación, añadió Reliaquest, que según afirma es un sello distintivo de grupos de primer nivel como Qlin o Play.
Los grupos competidores como Bl00dy, Dragonforce y RA World dependen de desarrolladores de ransomware desarrollados externamente, como versiones filtradas de Babuk o LockBit, señala el informe, mientras que BlackLock desarrolla su propio malware a medida.
"Si bien los desarrolladores de ransomware filtrados son fáciles de usar, tienen un inconveniente importante: los investigadores de seguridad pueden acceder y analizar el código, encontrar debilidades y desarrollar defensas contra ellas. Por el contrario, el malware personalizado de BlackLock mantiene a los investigadores en la oscuridad, al menos hasta que se filtra su código fuente".
Reliaquest también informó que el grupo ha estado reclutando activamente afiliados conocidos como "traficantes" para apoyar las primeras etapas de sus ataques, mientras que ha sido mucho más discreto cuando buscaba incorporar a desarrolladores de nivel superior.
Los objetivos de BlackLock deben tener cuidado
El informe identificó indicadores potenciales para los próximos objetivos principales de BlackLock, citando la actividad del foro que sugeriría que el grupo planea explotar Microsoft Entra Connect en una próxima campaña.
Se encontró a un usuario conocido por representar a BlackLock compartiendo una investigación de seguridad sobre cómo los atacantes podrían abusar del mecanismo de sincronización de Entra Connect para manipular los atributos de los usuarios y comprometer los entornos locales.
"Para las organizaciones que administran varios dominios bajo un inquilino, esta táctica crea un riesgo significativo de escalada de privilegios y el potencial de una infracción importante. Si bien el blog describe el ataque hipotéticamente, su viabilidad y su impacto potencial lo convierten en una preocupación seria", advirtió Reliaquest.
Como resultado, las organizaciones deberían reevaluar la seguridad de su infraestructura ahora, instó Reliaquest, afirmando que, en particular, deberían tratar de endurecer sus reglas en torno a los atributos sensibles, monitorear y restringir los registros de claves y aplicar políticas de acceso condicional.
Fuente:
IT Pro
https://www.itpro.com/security/cyber-crime/blacklock-ransomware-group-reliaquest