Una nueva cepa de ransomware sofisticada llamada BQTlock ha surgido en el panorama cibernético desde mediados de julio de 2025, operando bajo un modelo integral de ransomware como servicio (RAAS) que democratiza el acceso a capacidades de cifrado avanzadas para los cibercriminales.
El malware, asociado con ‘Zerodayx’, el supuesto líder del grupo hacktivista pro-palestino Liwaa Mohammed, representa una evolución preocupante en las estrategias de distribución y monetización de ransomware.
BQTLOCK emplea un modelo de suscripción escalonado que ofrece tres niveles de servicio: paquetes de arranque, profesionales y empresariales, cada una de las cuales proporciona características personalizables que incluyen personalización de notas de rescate, modificación de papel tapiz, extensiones de archivos y opciones de análisis anti-análisis configurables.
Modelos de suscripción (Fuente – K7 Security Labs)
El ransomware exige entre 13 y 40 tokens de Monero (XMR), equivalente a $ 3,600 a $ 10,000, con plazos de pago que duplican el rescate después de 48 horas y amenazan la eliminación de datos permanentes después de siete días.
Analistas de K7 Security Labs identificado La arquitectura sofisticada del malware, que combina tácticas tradicionales de doble extorsión con técnicas de evasión modernas.
El ransomware encripta los archivos utilizando un esquema de cifrado Hybrid AES-256 y RSA-4096, que agrega la extensión .BQTlock a archivos comprometidos mientras exfiltran los datos confilantes a través de Discord Webhooks para comunicaciones de comando y control.
Tweet (fuente – K7 Security Labs)
El mecanismo de distribución del malware implica archivos ZIP que contienen la actualización de ejecutable principal.exe junto con 20 archivos DLL de soporte.
Tras la ejecución, BQTlock realiza un reconocimiento integral del sistema, recopilando nombres de computadora, direcciones IP, identificadores de hardware e información de espacio en disco antes de establecer la persistencia e iniciar su rutina de cifrado.
Una variante actualizada descubierta el 5 de agosto de 2025 demuestra el compromiso de los actores de amenaza con el desarrollo continuo, incorporando capacidades de robo de credenciales mejoradas dirigidas a navegadores populares, incluidos Chrome, Firefox, Edge, Opera y Brave.
Esta evolución expande significativamente el potencial de recolección de datos del malware más allá del cifrado de archivos.
Mecanismos avanzados de evasión y persistencia
Bqtlock implementa un enfoque de múltiples capas para la evasión de detección y la persistencia del sistema que lo distingue de las familias convencionales de ransomware.
El malware comienza su secuencia de evasión empleando la API isDebuggerPresent () para detectar entornos de depuración activos, terminando inmediatamente la ejecución si se detectan herramientas de análisis.
Además, crea un mutex global llamado “Global \ {00A0B0C0-D0E0-F000-1000-200030004000}” para evitar que múltiples instancias se ejecuten simultáneamente.
BQTLock Ransomware Builder (Fuente – K7 Security Labs)
El ransomware logra la escalada de privilegios a través de la habilitación de SedebuGpivilege utilizando API OpenProcessToken y AjusteTokenPrivileges, seguido de técnicas sofisticadas de hueco de hueco dirigidas a Explorer.exe.
Este enfoque permite que BQTlock inyecte código malicioso en procesos legítimos del sistema, enmascarando efectivamente su presencia de las herramientas de monitoreo de seguridad.
Para un acceso persistente, el malware establece una tarea programada disfrazada de “Microsoft \ Windows \ Mantenimiento \ SystemHealthCheck”, aprovechando la nomenclatura legítima de mantenimiento de Windows para evitar la suspensión.
Simultáneamente crea una cuenta de administrador de puerta trasera llamada “BqtlockAdmin” con la contraseña “Password123!”, Asegurando el acceso continuo incluso después de la detección de compromiso inicial.
La variante actualizada introduce múltiples técnicas de bypass de UAC, incluido el abuso de cmstp.exe con archivos .Inf diseñados y manipulación de registro dirigida a fodhelper.exe y eventvwr.exe características de elevación.
Estos métodos permiten que el malware se ejecute con privilegios elevados sin activar las indicaciones de control de la cuenta del usuario, reduciendo significativamente la probabilidad de intervención del usuario durante la secuencia de ataque.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
