İlk olarak Mart 2024’te tanımlanan Blacklock fidye yazılımı, Hizmet Olarak Fidye Yazılımları (RAAS) ekosisteminin saflarını hızla yükseltti ve 2024’ün sonlarına kadar veri sızıntısı sitelerinde en üretken yedinci grup haline geldi.
Grup, kurbanların verilerini şifreleyerek, organizasyonlara fidye ödemek için basınçlı bilgi vererek kurbanların verilerini şifreleyerek çifte gasp stratejisi kullanıyor.
Kötü amaçlı yazılımı, Windows, VMware ESXI ve Linux sistemleri dahil olmak üzere birden fazla ortamı hedefler, ancak Linux varyantı Windows muadilinden daha az özellik açısından zengindir.
Babuk veya Lockbit gibi sızdırılmış fidye yazılımı üreticilerine dayanan birçok yarışmacının aksine, Blacklock kendi özel kötü amaçlı yazılımını geliştirir.
Bu yaklaşım, araştırmacıların kodunu analiz etme ve karşı koyma yeteneğini sınırlandırarak önemli bir avantaj sağlar.
Grubun veri sızıntısı sitesi ayrıca araştırmacıları ve kurbanları hayal kırıklığına uğratmak için benzersiz önlemler kullanıyor.
Örneğin, çalınan dosyalar için otomatik istekler, yalnızca iletişim bilgileri içeren boş yanıtlar veya sahte dosyalarla karşılanır ve yavaş ihlal değerlendirmelerini yavaşlatan manuel indirmeleri zorlar.
Bu sofistike taktikler, Blacklock’un teknik uzmanlığını ve operasyonel cilasını vurgulamaktadır.
Stratejik Forum Etkinliği ve İşe Alım
Blacklock’un yükselişi, Rus dili fidye yazılımı forumu rampasındaki agresif varlığıyla daha da körükleniyor.
Grubun “$$$” olarak bilinen temsilcisi, Ransomhub veya Lynx gibi diğer fidye yazılım gruplarından akranlardan dokuz kat daha sık yayınladı.
Bu yüksek katılım seviyesi, Blacklock’un siber suçlu topluluğundaki ilişkileri geliştirirken bağlı kuruluşları, programcılara ve başlangıç erişim brokerlerini (IAB’ler) almasını sağlar.
İşe alım çabaları belirli rollere göre uyarlanmıştır. Örneğin, kötü niyetli trafiği yönlendirmekten sorumlu kaçaklar, kâr paylaşımı ve gider kapsamı vaatleriyle açıkça işe alınır.
Buna karşılık, operasyonel güvenliği sağlamak için geliştirici rolleri gizli bir şekilde doldurulur.
Özellikle, işe alım kampanyaları genellikle büyük saldırı dalgalarından önce gelir ve bu çabalar ve sonraki operasyonlar arasında doğrudan bir bağlantı olduğunu düşündürmektedir.
Örneğin, Mayıs 2024’teki işe alım görevlerini aynı yılın Haziran ayında fidye yazılımı saldırılarında bir artış izledi.
Genişleyen Saldırı Vektörleri: Entra Connect’e Odaklanın
Son zeka, Blacklock’un 2025 için gelişen stratejisinin bir parçası olarak Microsoft Entra Connect senkronizasyon mekaniğindeki güvenlik açıklarından yararlanmaya hazırlanabileceğini öne sürüyor.
MSDS-KeyCredientialLink alanı gibi kullanıcı özniteliklerini manipüle ederek, saldırganlar hibrid bulut ortamlarındaki bağlı alanlarda ayrıcalıkları artırabilir.
Reliaquest’e göre, bu taktik geleneksel güvenlik kontrollerini atlar ve tek bir kiracı altında birden fazla alanı yöneten kuruluşlar için önemli riskler oluşturmaktadır.
Blacklock’un Kimlik ve Erişim Yönetimi (IAM) sistemlerine olan ilgisi, hibrid altyapıları daha agresif bir şekilde hedeflemeye yönelik potansiyel bir kaymaya işaret ediyor.
Bu odak, yanal hareket ve ağlardaki kalıcılık için güvenilir mekanizmalardan yararlanmak isteyen fidye yazılımı işlemlerindeki daha geniş eğilimlerle uyumludur.
Kuruluşlar, Blacklock’un sofistike taktiklerine karşı koymak için proaktif önlemler almalıdır:
- Sert Altyapı: VMware ESXI ana bilgisayarlarında gereksiz hizmetleri devre dışı bırakın ve yetkisiz erişimi önlemek için katı kilitleme modlarını uygulayın.
- Anahtar özelliklerini izleyin: MSDS-KeyCredientialLink gibi duyarlı özellikleri düzenli olarak denetleyin ve Entra ortamlarında kötüye kullanımı önlemek için temel kayıtları kısıtlayın.
- Tespiti Geliştirin: Blacklock’un gölge kopya silme ve hurma saldırıları gibi bilinen tekniklerini hedefleyen algılama kurallarını uygulayın.
Blacklock platformlar arasında erişimini yenilemeye ve genişletmeye devam ettikçe, kuruluşlar ileri tehdit zekası ve olay müdahale yeteneklerini siber güvenlik stratejilerine entegre ederek bu yükselen tehdide karşı uyanık kalmalıdır.
Ücretsiz Web Semineri: Olay yanıtı ve tehdit avı için etkileşimli kötü amaçlı yazılım sanal alanına sahip daha iyi SOC – buraya kaydolun