BlackLock یک گروه باجافزار نسبتاً جدید است که برای اولین بار در مارس ۲۰۲۴ مشاهده شد. این گروه در ابتدا با نام El Dorado فعالیت میکرد اما در اواخر همان سال نام خود را به BlackLock تغییر داد.
BlackLock از مدل کسبوکار RaaS (باجافزار بهعنوان سرویس) پیروی میکند، به این معنا که ابزارها و زیرساختهای خود را به وابستگان (affiliates) اجاره میدهد. این وابستگان حملات را اجرا کرده و بخشی از درآمد را با BlackLock به اشتراک میگذارند.
آیا BlackLock مانند سایر باجافزارها دادهها را رمزگذاری و سپس درخواست باج میکند؟
بله، درست مانند بسیاری از گروههای باجافزاری دیگر، BlackLock نه تنها فایلهای قربانیان را رمزگذاری میکند، بلکه دادهها را نیز استخراج کرده و تهدید میکند که در صورت عدم پرداخت باج، آنها را منتشر خواهد کرد.
این گروه باجافزارهای اختصاصی برای هدف قرار دادن سیستمعاملهای Windows، VMware ESXi و Linux توسعه داده است.
آیا فقط سیستمهای ویندوز را آلوده میکند؟
خیر، اما نسخه لینوکس باجافزار BlackLock به اندازه نسخه ویندوز آن پیشرفته و بالغ نیست.
چرا BlackLock مهم است؟
BlackLock با سرعت زیادی به یک تهدید بزرگ تبدیل شده است. پیشبینی میشود که این گروه در سال ۲۰۲۵ یکی از بزرگترین عملیاتهای RaaS باشد، زیرا در مدت کوتاهی تعداد پستهای منتشرشده در سایت نشت دادههای خود را بهطور چشمگیری افزایش داده است.
طبق گزارشها، BlackLock تنها در دو ماه اول سال ۲۰۲۴ حدود ۴۸ حمله انجام داده است که بیشترین آسیب را به شرکتهای ساختمانی و املاک و مستغلات وارد کرده است.
علاوه بر این، این گروه در حال جذب وابستگان جدید در فرومهای زیرزمینی جرایم سایبری، بهویژه در RAMP (یک انجمن روسیزبان متمرکز بر باجافزار) است. همچنین، این گروه به دنبال جذب توسعهدهندگان، بروکرهای دسترسی اولیه (Initial Access Brokers) و افرادی است که کاربران را به محتوای مخرب هدایت میکنند (Traffers).
نماینده BlackLock در انجمن RAMP فردی با نام مستعار “$$$” است که نه برابر بیشتر از نزدیکترین رقیب خود (RansomHub) پست منتشر کرده است. این نشان میدهد که BlackLock بهطور تهاجمی در حال تبلیغ فعالیتهای خود در بین مجرمان سایبری است.
آیا نباید تلاش بیشتری برای از بین بردن چنین انجمنهای مجرمانه انجام شود؟
حل این مشکل آسان نیست، اما نیروهای امنیتی در گذشته توانستهاند برخی از وبسایتهای باجافزاری و مجرمان سایبری را توقیف کنند. امید است که این روند ادامه یابد.
چگونه بفهمیم که شرکت ما هدف BlackLock قرار گرفته است؟
اگر شرکت شما آلوده شود، خیلی زود متوجه خواهید شد.
این باجافزار نهتنها فایلها را رمزگذاری میکند، بلکه نام آنها را نیز تغییر میدهد و به مجموعهای از کاراکترهای تصادفی تبدیل میکند.
علاوه بر این، یک فایل متنی با نام “HOW_RETURN_YOUR_DATA.TXT” در سیستمهای آلوده ایجاد میشود که شامل یادداشت اخاذی و درخواست پرداخت بیتکوین است.
آیا دادههای ما در صورت عدم پرداخت باج افشا خواهند شد؟
بله، متأسفانه.
سایت نشت دادههای BlackLock بهگونهای طراحی شده که تجزیهوتحلیل آن برای محققان امنیتی دشوار باشد. این سایت از ترفندهای هوشمندانهای برای جلوگیری از دانلود خودکار اطلاعات قربانیان استفاده میکند تا به این ترتیب، قربانیان تحت فشار بیشتری برای پرداخت قرار گیرند.
با این حال، متخصصان امنیت سایبری توانستهاند این موانع را دور بزنند و با استفاده از تکنیکهایی مانند فواصل دانلود تصادفی و عاملهای کاربری منحصربهفرد (Unique Browser Agents)، بهصورت خودکار فایلها را بازیابی کنند.
چگونه شرکت ما میتواند در برابر باجافزار BlackLock محافظت شود؟
بهترین راهکار اجرای توصیههای عمومی برای مقابله با باجافزارها است، از جمله:
- تهیه نسخههای پشتیبان امن و آفلاین
- استفاده از راهکارهای امنیتی بهروز و اعمال آخرین وصلههای امنیتی
- انتخاب پسوردهای پیچیده و فعالسازی احراز هویت چندمرحلهای (MFA)
- رمزگذاری دادههای حساس در صورت امکان
- کاهش سطح حمله با غیرفعال کردن قابلیتهای غیرضروری در سازمان
- آموزش کارکنان درباره روشهای حمله و فریبهای مجرمان سایبری
با رعایت این نکات، میتوان احتمال آلودگی به باجافزارهای خطرناکی مانند BlackLock را کاهش داد.
منبع: https://www.tripwire.com/state-of-security/blacklock-ransomware-what-you-need-know
