En lo que es una instancia de pirateo de los piratas informáticos, los cazadores de amenazas han acabado infiltrarse en la infraestructura en trayecto asociada con un categoría de ransomware llamado Blacklock, descubriendo información crucial sobre su modus operandi en el proceso.
Resecurity dijo que identificó una vulnerabilidad de seguridad en el sitio de fuga de datos (DLS) operado por el categoría de delitos electrónicos que permitió extraer archivos de configuración, credenciales, así como el historial de comandos ejecutados en el servidor.
El defecto se refiere a una “cierta configuración errónea en el sitio de fuga de datos (DLS) del ransomware Blacklock, lo que lleva a la divulgación de direcciones IP de ClearNet relacionada con su infraestructura de red detrás de Tor Hidden Services (alojándolos) e información de servicio adicional”, dijo la compañía.
Describió la historia adquirida de los comandos como una de las mayores fallas de seguridad operativa (OPSEC) del ransomware Blacklock.
Blacklock es una lectura renombrada de otro categoría de ransomware conocido como Eldorado. Desde entonces, se ha convertido en uno de los sindicatos de molestia más activos en 2025, muy apuntando a la tecnología, la fabricación, la construcción, las finanzas y los sectores minoristas. Hasta el mes pasado, ha enumerado 46 víctimas en su sitio.
Las organizaciones impactadas se encuentran en Argentina, Aruba, Brasil, Canadá, Congo, Croacia, Perú, Francia, Italia, Países Bajos, España, Emiratos Árabes Unidos, Reino Unido y Estados Unidos.
El categoría, que anunció el tirada de una red de afiliados subterráneas a mediados de enero de 2025, además se ha observado que reclutan activamente traficantes para proveer las primeras etapas de los ataques al dirigir a las víctimas a páginas maliciosas que despliegan malware capaz de establecer el paso auténtico a los sistemas comprometidos.
La vulnerabilidad identificada por ReseCurity es un error almacén de inclusión de archivos (LFI), esencialmente engañando al servidor web para filtrar información confidencial al realizar un ataque transversal de ruta, incluido el historial de comandos ejecutados por los operadores en el sitio de filtración.
Algunos de los hallazgos notables se enumeran a continuación –
- El uso de RClone para exfiltrar datos al servicio de almacenamiento en la montón Mega, en algunos casos incluso instalando el mega cliente directamente en los sistemas de víctimas
- Los actores de amenaza han creado al menos ocho cuentas en mega utilizando direcciones de correo electrónico desechables creadas a través de Yopmail (por ejemplo, “zubinnecrouzo-6860@yopmail.com”) para acumular los datos de las víctimas
- Una ingeniería inversa del ransomware ha descubierto las similitudes de código fuente y nota de rescate con otra tensión de ransomware con nombre en código DragonForce, que ha dirigido a organizaciones en Arabia Saudita (mientras que Dragonforce está escrito en C ++ visual, Blacklock usa GO))
- “$$$”, uno de los principales operadores de Blacklock, lanzó un tesina de ransomware de corta duración llamado Mamona el 11 de marzo de 2025
En un construcción intrigante, DLS de Blacklock fue desfigurado por Dragonforce el 20 de marzo, probablemente explotando la misma vulnerabilidad de LFI (o poco similar), con archivos de configuración y chats internos filtrados en su página de destino. Un día susodicho, el DLS de Ransomware de Mamona además fue desfigurado.
“No está claro si el ransomware Blacklock (como categoría) comenzó a cooperar con el ransomware de DragonForce o en la transición en silencio bajo la nueva propiedad”, dijo ReseCurity. “Los nuevos maestros probablemente se hicieron cargo del tesina y su cojín de afiliados adecuado a la consolidación del mercado de ransomware, comprender a sus sucesores anteriores podría encontrarse comprometido”.
“El actor secreto ‘$$$’ no compartió ninguna sorpresa luego de incidentes con ransomware Blacklock y Mamona. Es posible que el actor estuviera completamente consciente de que sus operaciones ya podrían estar comprometidas, por lo que la ‘salida’ silenciosa del tesina susodicho podría ser la opción más racional”.
