In quello che è un’istanza di hacking degli hacker, i cacciatori di minacce sono riusciti a infiltrarsi nell’infrastruttura on-line associata a un gruppo di ransomware chiamato Blacklock, scoprendo informazioni cruciali sul loro modus operandi nel processo.
Resecurity ha dichiarato di aver identificato una vulnerabilità di sicurezza nel sito di perdite di dati (DLS) gestita dal gruppo di crimine elettronica che ha permesso di estrarre file di configurazione, credenziali e la cronologia dei comandi eseguiti sul server.
Il difetto riguarda una “certa configurazione errata nel sito di perdite di dati (DLS) di Blacklock Ransomware, portando a indirizzi IP di ClearNet relativi alla loro infrastruttura di rete dietro Tor Hidden Providers (Internet hosting Li) e informazioni di servizio aggiuntive”, la società disse.
Ha descritto la cronologia acquisita dei comandi come uno dei più grandi guasti di sicurezza operativa (OPSEC) di Ransomware Blacklock.
Blacklock è un rinominato versione di un altro gruppo di ransomware noto come Eldorado. Da allora è diventato uno dei sindacati di estorsione più attivi nel 2025, mirando fortemente alla tecnologia, alla produzione, alla costruzione, alla finanza e alla vendita al dettaglio. A partire dal mese scorso, ha elencato 46 vittime sul suo sito.
Le organizzazioni colpite si trovano in Argentina, Aruba, Brasile, Canada, Congo, Croazia, Perù, Francia, Italia, Paesi Bassi, Spagna, Emirati Arabi Uniti, Regno Unito e Stati Uniti.
Il gruppo, che ha annunciato il lancio di una rete di affiliazione sotterranea a metà gennaio 2025, è stato anche osservato attivamente reclutando trafficanti per facilitare le prime fasi degli attacchi indirizzando le vittime a pagine dannose che distribuiscono malware in grado di stabilire l’accesso iniziale a sistemi compromessi.
La vulnerabilità identificata dalla resecurity è un’inclusione locale (Lfi) bug, essenzialmente ingannando il server Internet in informazioni sensibili per through eseguendo un attacco di attraversamento del percorso, inclusa la cronologia dei comandi eseguiti dagli operatori sul sito di perdite.
Alcuni dei risultati notevoli sono elencati di seguito –
- L’uso di RCLone per esfiltrarsi i dati nel servizio Mega Cloud Storage, in alcuni casi anche l’installazione del shopper Mega direttamente sui sistemi vittime
- Gli attori della minaccia hanno creato almeno otto account su MEGA utilizzando gli indirizzi e-mail usa e getta creati tramite Yopmail (advert es. “[email protected]”) per archiviare i dati delle vittime
- Un ingegneria inversa del ransomware ha scoperto il codice sorgente e le somiglianze di Ransom Be aware con un’altra tensione di ransomware in codice Dragonforceche ha mirato Organizzazioni in Arabia Saudita (mentre Dragonforce è scritto in Visible C ++, Blacklock usa GO)
- “$$$”, uno dei principali operatori di Blacklock, ha lanciato un progetto di ransomware di breve durata chiamato Mamona l’11 marzo 2025
In una svolta intrigante, il DLS di Blacklock è stato deturpato da Dragonforce il 20 marzo – probabilmente sfruttando la stessa vulnerabilità LFI (o qualcosa di simile) – con file di configurazione e chat interne trapelate sulla sua pagina di destinazione. Un giorno prima, anche il DLS di Mamona Ransomware è stato deturpato.
“Non è chiaro se Blacklock Ransomware (come gruppo) abbia iniziato a collaborare con Dragonforce Ransomware o in silenzio transizione sotto la nuova proprietà”, ha affermato Resecurity. “I nuovi maestri probabilmente hanno assunto il progetto e la loro base di affiliazione a causa del consolidamento del mercato ransomware, comprendendo i loro precedenti successori potrebbe essere compromesso”.
“L’attore chiave” $$$ “non ha condiviso alcuna sorpresa dopo incidenti con Blacklock e Mamona Ransomware. È possibile che l’attore fosse pienamente consapevole che le sue operazioni potrebbero essere già compromesse, quindi l’uscita silenziosa del progetto precedente potrebbe essere l’opzione più razionale.”
