Investigadores de ciberseguridad han hallado que el nuevo grupo de ransomware BlackLock y la notoria banda Eldorado son en realidad lo mismo. La primera supondría un rebranding de la segunda.
Después de enfrentarse al escrutinio de las autoridades y expertos de seguridad, se ha encontrado que Eldorado ha resurgido con la denominación de BlackLock, adoptando ciertas capacidades mientras continúa su labor como ransomware-as-a-service (Raas).
Durante los dos primeros meses del año BlackLock ejecutó 48 ataques en total. Estos incidentes afectaron a múltiples sectores, con la tecnología, la construcción y el real estate como los más impactados.
Este grupo de ransomware, a diferencia de otros, opera de manera poco metódica y muy flexible, lo que les hace muy poco predecibles y dificulta poder adelantarse a ellos.
Para coordinar sus actividades BlackLock suele utilizar plataformas de mensajería encriptadas.
Entre sus víctimas más recurrentes hay industrias con activos de alto valor y también agencias gubernamentales. Contra estas ultimas se sirve de wipers y ransomware.
Cambios y elementos que mantiene
BlackLock mantendría la base técnica de Eldorado, incluyendo el uso de Golang para ataques multiplataforma y sus sofisticadas técnicas de cifrado, como ChaCha20 y RSA-OAEP.
Sin embargo, ha mejorado los métodos anteriores con velocidades de cifrado más rápidas y estrategias de ataque más específicas.
Este patrón seguiría transiciones similares observadas en grupos de ransomware anteriores, como BabLock (Babuk) y BlackMatter (Revil).
“BlackLock se ha consolidado como uno de los grupos de ransomware más notorios de 2025, ganando gran notoriedad por publicar numerosas víctimas de alto perfil en su sitio web de filtraciones”, comenta DarkAtlas.
“Su rápido crecimiento y sus sofisticados métodos de ataque los han posicionado como una amenaza importante en el panorama de la ciberseguridad, lo que subraya la urgente necesidad de mejorar las estrategias defensivas y la mitigación proactiva de amenazas”, añade.