In wat een voorbeeld is van het hacken van de hackers, zijn bedreigingsjagers erin geslaagd om de online infrastructuur te infiltreren die is geassocieerd met een ransomware -groep genaamd Blacklock, die in het proces cruciale informatie over hun modus operandi ontdekt.
Resecurity zei dat het een beveiligingskwetsbaarheid heeft geïdentificeerd in de gegevensleksite (DLS) van de e-crime-groep die het mogelijk maakte om configuratiebestanden, referenties, evenals de geschiedenis van opdrachten op de server te extraheren.
De fout betreft een “bepaalde verkeerde configuratie in de gegevensleksite (DLS) van Blacklock -ransomware, wat leidt tot ClearNet IP -adressen die betrekking hebben op hun netwerkinfrastructuur achter Tor Hidden Services (hosting ze) en aanvullende service -informatie”, zei het bedrijf.
Het beschreef de verworven geschiedenis van commando’s als een van de grootste fouten op de operationele beveiliging (OPSEC) van blacklock ransomware.
Blacklock is een nieuwe versie van een andere ransomware -groep die bekend staat als Eldorado. Sindsdien is het een van de meest actieve afpersingssyndicaten geworden in 2025, zwaar gericht op technologie, productie, constructie, financiën en retailsectoren. Vanaf vorige maand heeft het 46 slachtoffers op zijn site vermeld.
De getroffen organisaties zijn gevestigd in Argentinië, Aruba, Brazilië, Canada, Congo, Kroatië, Peru, Frankrijk, Italië, Nederland, Spanje, de Verenigde Arabische Emiraten, het Verenigd Koninkrijk en de Verenigde Staten.
De groep, die medio januari 2025 de lancering van een ondergronds gelieerde netwerk heeft aangekondigd, is ook waargenomen om handelaren actief te werven om vroege stadia van de aanvallen te vergemakkelijken door slachtoffers te leiden naar kwaadaardige pagina’s die malware inzetten die in staat zijn om initiële toegang tot gecompromitteerde systemen te vestigen.
De kwetsbaarheid die door Resecurity is geïdentificeerd, is een LFI -bug van Local File Inclusion (LFI), die de webserver in wezen in lekkende gevoelige informatie misleidt door een Path Traversal -aanval uit te voeren, inclusief de geschiedenis van opdrachten die door de operators op de leksite worden uitgevoerd.
Sommige van opmerkelijke bevindingen worden hieronder vermeld –
- Het gebruik van RCLone om gegevens te exfiltreren naar de Mega Cloud Storage Service, in sommige gevallen zelfs de Mega -client direct op slachtoffersystemen installeren
- De dreigingsacteurs hebben ten minste acht accounts op mega gemaakt met behulp van wegwerp-e-mailadressen die zijn gemaakt via Yopmail (bijv. [email protected] “) om het slachtoffergegevens op te slaan
- Een reverse engineering van de ransomware heeft de broncode en losgeld opgelegd aan overeenkomsten met een andere ransomware -stamcodeaamde Dragonforce, die gericht is op organisaties in Saoedi -Arabië (terwijl Dragonforce is geschreven in visuele C ++, Blacklock gebruikt GO)
- “$$$”, een van de belangrijkste operators van Blacklock, lanceerde een kortlevend ransomware-project genaamd Mamona op 11 maart 2025
In een intrigerende wending werd Blacklock’s DLS op 20 maart onleesbaar gemaakt door Dragonforce – waarschijnlijk door dezelfde LFI -kwetsbaarheid te exploiteren (of iets soortgelijks) – met configuratiebestanden en interne chats gelekt op de bestemmingspagina. Een dag ervoor werd de DLS van Mamona Ransomware ook onleesbaar gemaakt.
“Het is onduidelijk of Blacklock -ransomware (als een groep) begon samen te werken met Dragonforce -ransomware of stil is overgegaan onder het nieuwe eigendom,” zei Resecurity. “De nieuwe Masters hebben waarschijnlijk het project en hun partnerbasis overgenomen vanwege de consolidatie van de ransomware -markt, het begrijpen van hun eerdere opvolgers zou kunnen worden aangetast.”
“De belangrijkste acteur ‘$$$’ heeft geen verrassing gedeeld na incidenten met Blacklock en Mamona Ransomware. Het is mogelijk dat de acteur zich er volledig van bewust was dat zijn activiteiten al in gevaar zouden kunnen worden gebracht, dus de stille ‘exit’ uit het vorige project zou de meest rationele optie kunnen zijn.”
