Os modelos Ransomware-como um serviço (RAAS) continuam a democratizar ataques sofisticados no mundo em constante mudança de crimes cibernéticos, permitindo que afiliados com pouco conhecimento técnico distribuam ransomware por meio de compartilhamento de lucros ou modelos de assinatura.
Uma tensão recém-identificada, BQTlock, surgiu desde meados de julho de 2025, operando sob esse paradigma de Raas e comercializou agressivamente em Fóruns da Web Dark e canais de telegrama.
Visão geral da ameaça emergente
Ligado a Zerodayx, o suposto líder do grupo hacktivista pró-palestino Liwaa Mohammed anteriormente associada à violação de dados da Arábia Saudita BQTLOCK Táticas de extorsão duplaCriptografar arquivos com uma extensão .bqtlock e ameaçar vazamentos de dados se os resgates de 13 a 40 XMR (aproximadamente US $ 3.600 a US $ 10.000) não forem pagos dentro de 48 horas por meio de criptomoeda Monero.
O não cumprimento de cumprir a demanda, com as chaves excluídas e os dados vendidos após sete dias. Distribuído como um arquivo zip contendo atualização.exe e DLLs de suporte, o malware integra medidas de anti-análise como ofuscação de cordas, detecção de depurador via isdebuggerpresent () e stubs de evasão de máquinas virtuais, juntamente com as verificações de mutex para evitar múltiplas instâncias.
As camadas de assinatura do BQTLOCK da BQTLOCK oferecem recursos personalizáveis, incluindo modificações de notas de resgate, servidores C2 personalizados, extensões de arquivo e recursos anti-debug/anti-VM de opção.
Após a infecção, ele aumenta os privilégios usando o Sedebugprivilege e executa o processo oco no explorer.exe para furtividade.
O reconhecimento do sistema reúne detalhes como nome do computador, endereços IP, IDs de hardware e espaço em disco, exfiltrados por meio de webhooks do Discord no formato JSON, geralmente acompanhados por capturas de tela de desktop salvas como BQT_SCREENSHOT.png.
Para prejudicar a recuperação, ele desativa os mecanismos do Windows por meio de comandos como o VSSadmin excluir sombras e o BCDedit /Set Recoveryabled no, ao mesmo tempo em que encerrar os processos de segurança via createtoolhelp32snapshot e termineprocess contra uma lista codificada.
A persistência é alcançada através do agendamento de tarefas imitando entradas legítimas da Microsoft, como o Microsoft Windows Manutenção SystemHealthCheck, e alterando papéis de parede de mesa e ícones de arquivo por meio de modificações de registro e shchangenotify.
Técnicas avançadas em variantes atualizadas
An updated BQTLock variant analyzed on August 5, 2025, intensifies evasion with enhanced anti-debugging (CheckRemoteDebuggerPresent(), OutputDebugString(), GetTickCount() for timing anomalies), UAC bypasses via CMSTP, fodhelper.exe, and eventvwr.exe through registry hijacking, and heavier code ofuscação.
Ele expande o reconhecimento usando o WMI para obter detalhes de hardware, introduz roubo de credenciais de navegadores como Chrome, Firefox e Edge, acessando arquivos de dados de login e descriptografando com chaves do key4.db, e permite o movimento lateral autocupando como BQTPayload.exe em %TEMP %.
A criptografia segue um esquema híbrido AES-256/RSA-4096, com chaves e IVs aleatórias geradas via Rand_bytes, anexadas a arquivos depois de ignorar diretórios do sistema, como Windows e arquivos de programas, para preservar a estabilidade.
De acordo com o relatórioPós-criptografia, a autodegião ocorre através de scripts em lote e os logs de eventos são limpos para apagar traços.
Apesar das reivindicações de serem totalmente indetectáveis (FUD) em Virustotal, as amostras parecem corrompidas e suspeitas do Líbano, lançando dúvidas sobre legitimidade.
Promoções recentes destacam um Ransomware Builder V4 com extensas personalizações, embora as atualizações tenham supostamente cessado após quatro versões em menos de um mês, juntamente com um canal de telegrama bloqueado e ofertas gratuitas de serviço em novas.
O grupo também lançou o Baqiyat.osint, uma ferramenta paga para pesquisar dados roubados, destacando uma abordagem comercializada ao ransomware.
Em meio a ameaças crescentes, a implantação de soluções de segurança atualizadas como a segurança total do K7 é essencial para a mitigação, enfatizando o monitoramento proativo do CVE e a inteligência de ameaças.
Indicador de compromisso (COI)
| Categoria | Detalhes do COI |
|---|---|
| Hash | 4E7434AC13001FE55474573AA5E9379D (RANSOMWARE (005A7A3D1)) 7170292337A894CE9A58F5B2176DFEFC (RANSOMWARE (005A7A3D1)) |
| Site de ransomware | hxxp: //yywhylvqeqynzik6ibocb53o2nat7lmzn5ynjpar3stndzcgmy6dkgid.onion |
| X | hxxps: //x.com/zerodayx1 |
| Telegrama | hxxps: //t.me/bqtlock hxxps: //t.me/fuch0u hxxps: //t.me/bqtnet hxxps: //t.me/bqtlock_raas |
| Carteira criptográfica | 89rqn2eumix6vl7ntv3viquagbdpn4ab329zpcegbceqjus233uye4extyk3mxatvoknmzzgvrxxphlzbjPteary7QVUApr |
| Correspondência | Bqtlock@tutamail.com |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!