In un colpo di scena che potrebbe essere descritto come "hackerare gli hacker", i cacciatori di minacce sono riusciti a infiltrarsi nell'infrastruttura online associata a un gruppo di ransomware noto come BlackLock. Questo ha permesso di scoprire informazioni cruciali sulle loro modalità operative. Resecurity ha identificato una vulnerabilità di sicurezza nel sito di data leak (DLS) gestito dal gruppo e-crime. Questa vulnerabilità ha reso possibile estrarre file di configurazione, credenziali e la cronologia dei comandi eseguiti sul server.

Il problema riguarda una "certa configurazione errata nel sito di data leak di BlackLock Ransomware", che ha portato alla divulgazione degli indirizzi IP in chiaro legati alla loro infrastruttura di rete dietro servizi nascosti TOR e ulteriori informazioni sui servizi, ha dichiarato la società. La cronologia dei comandi acquisita è stata descritta come uno dei più grandi fallimenti di sicurezza operativa (OPSEC) del ransomware BlackLock.

BlackLock ed Eldorado

BlackLock è una versione rinominata di un altro gruppo ransomware noto come Eldorado. È diventato uno dei sindacati di estorsione più attivi del 2025, prendendo di mira pesantemente i settori della tecnologia, della manifattura, delle costruzioni, della finanza e del retail. Fino al mese scorso, ha elencato 46 vittime sul suo sito. Le organizzazioni colpite si trovano in Argentina, Aruba, Brasile, Canada, Congo, Croazia, Perù, Francia, Italia, Paesi Bassi, Spagna, Emirati Arabi Uniti, Regno Unito e Stati Uniti.

Il gruppo, che ha annunciato il lancio di una rete di affiliati clandestini a metà gennaio 2025, è stato anche osservato reclutare attivamente traffers per facilitare le fasi iniziali degli attacchi indirizzando le vittime a pagine malevole che distribuiscono malware in grado di stabilire l'accesso iniziale ai sistemi compromessi.

La vulnerabilità LFI

La vulnerabilità identificata da Resecurity è un bug di inclusione di file locali (LFI), che essenzialmente inganna il server web a divulgare informazioni sensibili eseguendo un attacco di attraversamento del percorso, inclusa la cronologia dei comandi eseguiti dagli operatori sul sito di leak.

Alcuni dei risultati più notevoli includono l'uso di Rclone per esfiltrare dati al servizio di cloud storage MEGA, creando almeno otto account su MEGA utilizzando indirizzi email usa e getta creati tramite YOPmail, e una somiglianza nel codice sorgente e nella nota di riscatto con un altro ceppo di ransomware chiamato DragonForce.

Colpi di scena

In un colpo di scena intrigante, il DLS di BlackLock è stato deturpato da DragonForce il 20 marzo, probabilmente sfruttando la stessa vulnerabilità LFI, con file di configurazione e chat interne trapelate sulla sua pagina di atterraggio. Un giorno prima, anche il DLS del ransomware Mamona è stato deturpato.