BlackLock : un ransomware sophistiqué et en pleine expansion

Le ransomware BlackLock, auparavant connu sous le nom d’El Dorado, attire l’attention des experts en cybersécurité depuis son apparition. Son développement rapide et sa compatibilité étendue avec divers systèmes en font une menace redoutable. Découvrez comment ce logiciel malveillant continue de compromettre les infrastructures informatiques à travers le monde.

Les 3 points clés à retenir

• Le ransomware BlackLock a enregistré une augmentation de 1425% de son activité au quatrième trimestre 2024.
• Compatible avec Windows, Linux et VMware ESXi, il s’adapte facilement à des systèmes informatiques variés.
• BlackLock utilise des techniques avancées de chiffrement et de dissimulation pour échapper aux détecteurs antivirus.

Une montée en puissance alarmante

Selon les experts du cabinet ASEC, le ransomware BlackLock a connu une augmentation spectaculaire de son activité depuis mars 2024. Ce malware, déjà redouté pour sa capacité à cibler divers systèmes, a vu son taux de propagation grimper de 1425% au quatrième trimestre de l’année.

Compatibilité et sophistication technique

Développé en langage Go, BlackLock est naturellement compatible avec les systèmes d’exploitation Windows, Linux, ainsi que l’hyperviseur VMware ESXi. Cette caractéristique permet aux cyberattaquants de déployer une seule campagne pour infecter simultanément plusieurs infrastructures hétérogènes.

Le logiciel malveillant chiffre chaque fichier à l’aide de l’algorithme ChaCha20, en attribuant à chaque fichier un « nonce », un nombre aléatoire qui complexifie la tâche de décryptage sans les outils appropriés. Les métadonnées nécessaires pour récupérer le contenu sont protégées par l’algorithme Elliptic Curve Diffie-Hellman, ajoutant une couche de sécurité supplémentaire.

Techniques de dissimulation et propagation

BlackLock se démarque également par ses techniques de dissimulation sophistiquées. Contrairement aux méthodes classiques, ce ransomware crée une « instance d’objet COM » dans la mémoire de l’ordinateur, évitant ainsi la détection par les antivirus qui scrutent essentiellement les disques locaux. Cela permet au malware de supprimer discrètement les sauvegardes systèmes.

Sur les systèmes Windows, BlackLock s’appuie sur des projets open-source comme go-smb2 pour scanner et accéder aux dossiers partagés via le protocole SMB, facilitant ainsi la propagation de l’infection aux disques et ordinateurs connectés.

BlackLock dans le paysage des ransomwares

Depuis sa création, BlackLock s’est imposé comme l’un des ransomwares les plus sophistiqués. Initialement connu sous le nom d’El Dorado, le groupe derrière ce logiciel malveillant a su tirer parti des avancées technologiques pour créer un outil de cyberattaque efficace et redoutablement discret.

Le choix du langage Go pour son développement témoigne d’une volonté de compatibilité et de flexibilité, permettant à BlackLock de cibler un large éventail de systèmes d’exploitation. En exploitant des algorithmes de chiffrement avancés et des techniques de dissimulation ingénieuses, ce malware représente une menace sérieuse pour les infrastructures informatiques mondiales, posant un défi constant aux experts en cybersécurité.