Los hackers aprenden a tumbar tres sistemas con un solo ataque. Nueva técnica deja la seguridad como pura ilusión.

El grupo BlackLock, anteriormente conocido como El Dorado, en los últimos meses se ha consolidado como uno de los actores más notables en el ámbito de los ataques de ransomware. Un estudio de AhnLab Security Intelligence Center (ASEC) muestra que sus desarrolladores lograron crear una herramienta de cifrado multiplataforma diseñada para afectar simultáneamente a Windows, Linux y VMware ESXi. Esta cobertura permite a los operadores atacar infraestructuras mixtas sin limitarse a un solo sistema operativo.

Las filtraciones de datos en el sitio dedicado de BlackLock se detectaron por primera vez en el verano de 2024, pero el análisis de las huellas digitales indica que la actividad se remonta al menos a marzo de ese mismo año. La mayor parte de los casos registrados afectó a empresas y organismos municipales en Estados Unidos, pero también se registraron ataques en Corea del Sur, Japón, países europeos y otras regiones.

Se han visto afectadas organizaciones educativas y de investigación, empresas de transporte, constructoras y manufactureras, así como instalaciones de ocio, incluso clubes de golf. Según ASEC, los operadores actúan bajo el modelo de "extorsión como servicio".

La base técnica de BlackLock está escrita en Go y utiliza las bibliotecas estándar del lenguaje para simplificar el desarrollo y garantizar la estabilidad. Al iniciarse, el programa lee parámetros de la línea de comandos, lo que permite a los operadores controlar su comportamiento: elegir directorios para el cifrado, configurar retrasos, determinar el porcentaje de cifrado parcial de archivos, el número de hilos y el escaneo de comparticiones SMB remotas. En el código existe un indicador para ataques contra entornos VMware, pero en las muestras analizadas ese módulo no está implementado.

El mecanismo de bloqueo se basa en el cifrado de flujo ChaCha20, implementado mediante el paquete crypto. Para cada archivo se genera una clave única de 32 bytes y un vector de inicialización de 24 bytes; a continuación se crea una instancia de XChaCha20 y se realiza el cifrado con XORKeyStream.

Para garantizar la posibilidad de recuperar los datos tras el pago, a cada archivo se le añaden metadatos cifrados con la clave y el vector. Para protegerlos se emplea un intercambio de claves basado en Diffie-Hellman de curva elíptica y la llamada secretbox.Seal(), lo que impide extraer la clave de trabajo sin la parte privada de los operadores.

El mecanismo de eliminación de copias de seguridad merece especial atención. En lugar de comandos WMI directos, el código malicioso crea un objeto COM y, mediante shellcode incorporado, ejecuta solicitudes en memoria destinadas a eliminar instantáneas de Volume Shadow Copy y vaciar la papelera. Ese enfoque dificulta la detección de las acciones y ayuda a eludir las herramientas de monitorización tradicionales. Como resultado, las víctimas se encuentran con archivos renombrados con extensiones aleatorias y con instrucciones de texto HOW_RETURN_YOUR_DATA.TXT en cada carpeta. La nota advierte sobre la amenaza de paralizar el negocio y el riesgo de publicar datos si se rechazan las negociaciones.

El análisis subraya que BlackLock avanza hacia una mayor flexibilidad y una lógica interna más compleja. Las medidas de defensa deben incluir la segmentación de redes, la priorización de las actualizaciones de los sistemas, el uso de medidas de protección multinivel y la verificación periódica de las copias de seguridad almacenadas en entornos aislados. En un contexto de aumento de los ataques contra Windows, Linux y ESXi, la combinación de mecanismos preventivos y una respuesta rápida es la que permite reducir las consecuencias de las intrusiones de esta familia.