Хакеры научились бить по трём системам одним ударом. Новая схема превращает защиту в фикцию

leer en español

BlackLock El Dorado AhnLab ASEC ChaCha20 ECDH RaaS вымогательское ПО
Хакеры научились бить по трём системам одним ударом. Новая схема превращает защиту в фикцию
BlackLock El Dorado AhnLab ASEC ChaCha20 ECDH RaaS вымогательское ПО

Как администраторы теряют контроль над собственными серверами?

image

Группа BlackLock, ранее известная под именем El Dorado, за последние месяцы закрепилась как один из наиболее заметных игроков на поле вымогательских атак. Исследование специалистов AhnLab Security Intelligence Center (ASEC) показывает, что разработчики сумели создать кроссплатформенное средство шифрования, рассчитанное на одновременное поражение Windows, Linux и VMware ESXi. Такой охват позволяет операторам атак бить по смешанным инфраструктурам, не ограничиваясь одной ОС.

Утечки данных на выделенном сайте BlackLock впервые были замечены летом 2024 года, но анализ цифровых следов указывает, что активность ведётся минимум с марта того же года. Большая часть зафиксированных случаев пришлась на компании и муниципальные структуры в США, но атаки зарегистрированы также в Южной Корее, Японии, европейских странах и других регионах.

Пострадали образовательные и исследовательские организации, транспортные предприятия, строительные и производственные фирмы, а также объекты досуговой сферы, вплоть до гольф-клубов. По данным ASEC, участники проекта действуют по схеме «вымогательство как услуга».

Техническая база BlackLock написана на Go и использует стандартные библиотеки языка для упрощения разработки и обеспечения стабильности. При запуске программа считывает параметры командной строки, что позволяет операторам управлять её поведением: выбирать директории для шифрования, задавать задержки, определять процент частичного шифрования файлов, количество потоков и сканирование удалённых SMB-шаров. В коде предусмотрен флаг для атак на VMware-среды, но на данный момент в изученных образцах этот модуль не реализован.

В основе механизма блокировки лежит потоковый шифр ChaCha20, реализованный через пакет crypto. Для каждого файла генерируются уникальные 32-байтный ключ и 24-байтный вектор инициализации, после чего создаётся экземпляр XChaCha20 и выполняется шифрование с помощью XORKeyStream.

Чтобы гарантировать возможность восстановления данных после оплаты, к каждому файлу добавляются зашифрованные метаданные с ключом и вектором. Для их защиты применяется обмен ключами на основе Elliptic Curve Diffie-Hellman и вызов secretbox.Seal(), что исключает возможность извлечь рабочий ключ без приватной части операторов.

Особое внимание привлекает механизм удаления резервных копий. Вместо прямых WMI-команд вредоносный код создаёт COM-объект и через встроенный шелл-код выполняет запросы в память, направленные на удаление снимков Volume Shadow Copy и очистку корзины. Такой подход усложняет обнаружение действий и помогает обойти традиционные средства мониторинга. В результате пострадавшие сталкиваются с файлами, переименованными в случайные расширения, и текстовыми инструкциями HOW_RETURN_YOUR_DATA.TXT в каждой папке. В записке сообщается об угрозе остановки бизнеса и риске публикации данных при отказе от переговоров.

Анализ подчёркивает, что BlackLock развивается в сторону гибкости и усложнения внутренней логики. Защитные меры должны включать сегментацию сетей, приоритетное обновление систем, использование многоуровневых средств защиты и регулярную проверку резервных копий, хранящихся в изолированных средах. В условиях роста атак на Windows, Linux и ESXi именно сочетание превентивных механизмов и быстрой реакции позволяет снизить последствия атак этого семейства.