48 атак за два месяца: BlackLock захватывает лидерство в вымогательской сфере

Группировка BlackLock стремительно выходит в лидеры среди операторов программ-вымогателей по модели RaaS. Согласно исследованию компании DarkAtlas, BlackLock не только наращивает масштабы атак, но и демонстрирует беспрецедентную гибкость в тактике, что делает её особенно опасной для различных отраслей.

Ещё в 2024 году BlackLock, также известная как Eldorado, начала активно атаковать организации, внедряя усовершенствованные методики шифрования и эксплуатируя уязвимости в критически важных системах. В 2025 году она уже признана одной из самых активных группировок, за первые два месяца года зафиксировано 48 атак на крупные компании и государственные учреждения.

Сильнее всего пострадали строительная и технологическая отрасли, что свидетельствует о смене стратегических приоритетов BlackLock. Аналитики DarkAtlas подчёркивают, что злоумышленники всё чаще ориентируются на сложные структуры с высокими активами, а также стремятся нанести максимальный ущерб при минимальных затратах.

Многие атаки сопровождаются использованием шифровальщика, меняющего имена файлов на случайные строки и добавляющего произвольное расширение. Жертвам оставляется записка «HOW_RETURN_YOUR_DATA.TXT» с инструкциями по выкупу. Такой подход стал визитной карточкой BlackLock, как и публикация данных жертв на своём сайте утечек для усиления давления.

Группа активно привлекает так называемых трафферов — специалистов по продвижению вредоносного трафика и первоначальному взлому инфраструктуры. При этом набор высокоуровневых разработчиков ведётся более скрытно, что говорит о строгом контроле и сегментации внутри группы.

Интерес представляет и техническая база. BlackLock, унаследовав наработки Eldorado, использует язык Go для создания кроссплатформенного вредоносного ПО, а для шифрования применяет связку ChaCha20 и RSA-OAEP. Это обеспечивает быструю и устойчивую работу вредоноса как на Windows, так и на Linux-серверах. При этом программа самостоятельно подстраивается под особенности сети и требует доступа администратора домена или NTLM-хеша для формирования уникального шифровальщика под конкретную жертву.

Отдельные атаки указывают на возможное пересечение интересов киберпреступников и хактивистов. В условиях нарастающего геополитического давления, угрозы всё чаще становятся инструментом влияния, направленным против инфраструктуры стратегически значимых секторов.

Также в зоне риска оказываются IT-провайдеры, через которых возможно дальнейшее проникновение в цепочки поставок. Согласно данным DarkAtlas, около 25% атак пришлись на правительственные учреждения, где BlackLock использовала не только шифровальщики, но и разрушительные вайперы.

Особое внимание исследователи уделяют каналу связи группировки — Telegram-аккаунту под названием «Mamona R.I.P», через который, предположительно, ведётся координация операций и общение с аффилированными участниками.

Угроза BlackLock выходит за рамки обычных атак. Даже если группировка со временем сменит название или прекратит деятельность, её инфраструктура и методы обязательно станут основой для новых поколений киберугроз. В условиях, когда RaaS-платформы упрощают доступ к вредоносным инструментам, каждая организация обязана учитывать новые риски и модернизировать подходы к защите.