BlackLock ransomware se pojavio kao jedna od najozloglašenijih prijetnji cyber sigurnosti 2025. godine, kompromitirajući više od 40 organizacija u roku od samo dva mjeseca.
Grupa ransomware-a u brzom porastu ciljala je žrtve u više sektora, pri čemu su građevinarstvo, nekretnine i tehnološke industrije snose najveći teret ovih sofisticiranih napada.
Radeći kao Ransomware-as-a-Service (RaaS) platforma, BlackLock se brzo pozicionirao kao dominantna sila u ekosistemu sajber-kriminalaca kroz svoje napredne tehnike šifrovanja i agresivne strategije ciljanja.
.webp)
Prema nedavnim podacima o napadima, BlackLock je izveo tačno 48 napada u prva dva mjeseca 2025. godine, pokazujući alarmantan operativni tempo.
Taktika grupe uključuje šifrovanje kritičnih organizacijskih podataka i zahtijevanje značajnih otkupnina za ključeve za dešifrovanje, dok istovremeno prijeti da će objaviti ukradene informacije na njihovoj namjenskoj lokaciji za curenje podataka ako zahtjevi ne budu ispunjeni.
DarkAtlas Security istraživači su otkrili da je BlackLock zapravo rebrendirana verzija ranije poznate grupe Eldorado ransomware.
“Nakon što su se suočili sa pojačanim nadzorom organa za provođenje zakona, Eldorado operateri su se ponovo pojavili pod zastavom BlackLock s rafiniranim operativnim modelom i poboljšanim mogućnostima”, istaknuo je DarkAtlas istraživački tim u svom najnovijem izvještaju o prijetnjama.
Ransomware koristi sofisticirane međuplatformske mogućnosti, koristeći Golang za izvršenje napada na Windows i Linux sisteme.
.webp)
Ovaj proces enkripcije transformiše datoteke dodavanjem nasumičnih nizova znakova i dodaje slične nasumične ekstenzije, stvarajući prepoznatljiv obrazac koji se vidi u pogođenim sistemima.
Tehničke operacije i lanac zaraze
Proces infekcije počinje kada BlackLock operateri dobiju pristup ciljnim mrežama, često putem kompromitovanih kredencijala ili ranjivosti u aplikacijama koje se nalaze na internetu.
Kada se nađe unutra, ransomware šifruje datoteke koristeći ChaCha20 za sadržaj datoteke i RSA-OAEP za šifriranje ključa, omogućavajući mu da napadne datoteke na zajedničkim mrežama putem SMB protokola.
Nakon što se šifrovanje završi, žrtve pronalaze poruku o otkupnini pod nazivom “HOW_RETURN_YOUR_DATA.TXT” koja sadrži upute za plaćanje.
.webp)
Distribucija po sektorima pokazuje da tehnologije i razne industrije trpe najveći udio napada, što odražava strateško ciljanje grupe na organizacije visoke vrijednosti.
Posebno zabrinjava BlackLock-ovo regrutovanje „trafera“ – stručnjaka koji upravljaju malicioznim saobraćajem i uspostavljaju početne pristupne tačke.
Ove osobe igraju ključnu ulogu u ranim fazama napada, usmjeravajući potencijalne žrtve ka kompromisu.
Grupa održava komunikaciju putem šifrovanih Telegram kanala, čineći praćenje i atribuciju izazovnim za istraživače sigurnosti i za policiju.
Organizacijama se savjetuje da implementiraju robusne strategije sigurnosnog kopiranja, segmentaciju mreže i sveobuhvatnu zaštitu krajnjih tačaka kako bi ublažile rastuću BlackLock prijetnju.
Izvor: CyberSecurityNews