Ransomware Blacklock
Entre los meses de enero y marzo de este año 2025 se detectado que ElDorado, un ransomware ya conocido ha cambiado de nombre a Blacklock, y con ese rebranding ha aumentado su actividad al poco tiempo. Aunque se ha identificado este cambio, el ransomware sigue estando codificado en Golang, y además se sigue detectando que al igual que ElDorado se inclina a atacar entornos Windows, VMware y Linux. Esta amenaza ataca principalmente a víctimas que brindan servicios tecnológicos, construcción, manufactura, servicios al consumidor y servicios empresariales. También se ha monitoreado que la mayoría de sus víctimas se ubican en Estados Unidos, Canadá, España, Japón y en Alemania.
BlackLock al igual que la mayoría de los ransomwares opera bajo el método de doble extorsión, en donde los ciberdelincuentes obtienen acceso a la infraestructura de las victimas a través de correos electrónicos con phishing, explotación de vulnerabilidades o credenciales filtradas. Y después de obtener acceso buscan cifrar información crítica para posteriormente extraerla. Este método es utilizado por esta amenaza porque buscan intimidar a las víctimas asegurando que pueden publicar los datos obtenidos en su sitio de filtraciones y en la dark web.
[1] Sitio de filtración del Ransomware BlackLock
BlackLock no solo cifra los archivos críticos, sino que también elimina y cifra las copias de seguridad, dificultando la recuperación de las víctimas. Para impedir la filtración de los datos el grupo pide pagar el rescate de la información, y deja los pasos a seguir en la nota de rescate con instrucciones, Además utiliza tácticas psicológicas para generar presión en las victimas y acelerar el pago.
[1] Nota de rescate ransomware BlackLock
En el mes de febrero especialistas en ciberseguridad especularon que el siguiente blanco del grupo de ransomware BlackLock es explotar vulnerabilidades de Microsoft Entra Connect, lo que les permitiría comprometer entornos críticos y realizar movimientos laterales en la infraestructura de las víctimas.
Taxonomia MITRE ATT&CK
|
Táctica |
ID de la técnica |
Nombre |
|
Initial Access |
T1078.002 |
Default Accounts |
|
Execution |
T1059.003 |
Windows Command Shell |
|
Lateral Movement |
T1550.002 |
Pass de Hash |
|
Defense Evasion |
T1070.004 |
File Delection |
|
Impact |
T1490 |
Inhibit System Recovery |
Indicadores de Compromiso:
|
IOC |
Tipo |
|
d1cd0d1ecf05b1c49c732e7070214676 |
MD5 |
|
966752f12e81ffa1322da91f861fb0ee0ee771e7 |
SHA1 |
|
0622aed252556af50b834ae16392555e51d67b3a4c67a6836b98534a0d14d07d |
SHA256 |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque.
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Zorz, Z. (2025, Febrero 18). BlackLock ransomware onslaught: What to expect and how to fight it - Help Net Security. Help Net Security. Recuperado el 09 de junio de 2025 en: https://www.helpnetsecurity.com/2025/02/18/blacklock-ransomware-what-to-expect-how-to-fight-it/
- Langley, M. (2025, Febrero 19). BlackLock Ransomware: a rapidly rising cyber threat - Security Spotlight. Daily Security Review. Recuperado el 09 de junio de 2025 en: https://dailysecurityreview.com/security-spotlight/blacklock-ransomware-a-rapidly-rising-cyber-threat/
- Threat Spotlight: Inside the World’s Fastest Rising Ransomware Operator — BlackLock. (2025, Febrero 19). ReliaQuest. Recuperado el 09 de junio de 2025 en: https://reliaquest.com/blog/threat-spotlight-inside-the-worlds-fastest-rising-ransomware-operator-blacklock/
- LevelBlue - Open Threat Exchange. (2025, Febrero 10). LevelBlue Open Threat Exchange. Recuperado el 09 de junio de 2025 en: https://otx.alienvault.com/pulse/67aa0eacc92e9214679bda49
