En lo que es una instancia de pirateo de los piratas informáticos, los cazadores de amenazas han logrado infiltrarse en la infraestructura en línea asociada con un grupo de ransomware llamado Blacklock, descubriendo información crucial sobre su modus operandi en el proceso.
Resecurity dijo que identificó una vulnerabilidad de seguridad en el sitio de fuga de datos (DLS) operado por el grupo de delitos electrónicos que permitió extraer archivos de configuración, credenciales, así como el historial de comandos ejecutados en el servidor.
El defecto se refiere a una «cierta configuración errónea en el sitio de fuga de datos (DLS) del ransomware Blacklock, lo que lleva a la divulgación de direcciones IP de ClearNet relacionada con su infraestructura de red detrás de Tor Hidden Services (alojándolos) e información de servicio adicional», dijo la compañía.
Describió la historia adquirida de los comandos como una de las mayores fallas de seguridad operativa (OPSEC) del ransomware Blacklock.
Blacklock es una versión renombrada de otro grupo de ransomware conocido como Eldorado. Desde entonces, se ha convertido en uno de los sindicatos de extorsión más activos en 2025, muy apuntando a la tecnología, la fabricación, la construcción, las finanzas y los sectores minoristas. Hasta el mes pasado, ha enumerado 46 víctimas en su sitio.
Las organizaciones impactadas se encuentran en Argentina, Aruba, Brasil, Canadá, Congo, Croacia, Perú, Francia, Italia, Países Bajos, España, Emiratos Árabes Unidos, Reino Unido y Estados Unidos.
El grupo, que anunció el lanzamiento de una red de afiliados subterráneas a mediados de enero de 2025, también se ha observado que reclutan activamente traficantes para facilitar las primeras etapas de los ataques al dirigir a las víctimas a páginas maliciosas que despliegan malware capaz de establecer el acceso inicial a los sistemas comprometidos.
La vulnerabilidad identificada por ReseCurity es un error local de inclusión de archivos (LFI), esencialmente engañando al servidor web para filtrar información confidencial al realizar un ataque transversal de ruta, incluido el historial de comandos ejecutados por los operadores en el sitio de filtración.
Algunos de los hallazgos notables se enumeran a continuación –
- El uso de RClone para exfiltrar datos al servicio de almacenamiento en la nube Mega, en algunos casos incluso instalando el mega cliente directamente en los sistemas de víctimas
- Los actores de amenaza han creado al menos ocho cuentas en mega utilizando direcciones de correo electrónico desechables creadas a través de Yopmail (por ejemplo, «zubinnecrouzo-6860@yopmail.com») para almacenar los datos de las víctimas
- Una ingeniería inversa del ransomware ha descubierto las similitudes de código fuente y nota de rescate con otra tensión de ransomware con nombre en código DragonForce, que ha dirigido a organizaciones en Arabia Saudita (mientras que Dragonforce está escrito en C ++ visual, Blacklock usa GO))
- «$$$», uno de los principales operadores de Blacklock, lanzó un proyecto de ransomware de corta duración llamado Mamona el 11 de marzo de 2025
En un giro intrigante, DLS de Blacklock fue desfigurado por Dragonforce el 20 de marzo, probablemente explotando la misma vulnerabilidad de LFI (o algo similar), con archivos de configuración y chats internos filtrados en su página de destino. Un día anterior, el DLS de Ransomware de Mamona también fue desfigurado.
«No está claro si el ransomware Blacklock (como grupo) comenzó a cooperar con el ransomware de DragonForce o en la transición en silencio bajo la nueva propiedad», dijo ReseCurity. «Los nuevos maestros probablemente se hicieron cargo del proyecto y su base de afiliados debido a la consolidación del mercado de ransomware, comprender a sus sucesores anteriores podría verse comprometido».
«El actor clave ‘$$$’ no compartió ninguna sorpresa después de incidentes con ransomware Blacklock y Mamona. Es posible que el actor estuviera completamente consciente de que sus operaciones ya podrían estar comprometidas, por lo que la ‘salida’ silenciosa del proyecto anterior podría ser la opción más racional».