Исследователи Resecurity обнаружили критическую уязвимость в онлайн-инфраструктуре группы BlackLock, что позволило получить доступ к их Data Leak Site (DLS) посредством ошибки Local File Inclusion. Неправильная конфигурация системы привела к возможности path traversal атаки, в результате которой были раскрыты IP-адреса clearnet, связанные с TOR-сетью, а также сведения о дополнительном сервисном обеспечении.
Изъятая информация включала конфигурационные файлы, учетные данные и полную историю команд, выполненных на сервере. Такой подробный лог операций свидетельствует об одной из крупнейших ошибок операционной безопасности (OPSEC) группы, оставившей значительные следы для анализа экспертов.
BlackLock, являющийся ребрендированной версией группы Eldorado, стал одним из самых активных синдикатов программ-вымогателей в 2025 году. По данным DLS, на данный момент зафиксировано 46 жертв – организации из Аргентины, Арубы, Бразилии, Канады, Конго, Хорватии, Перу, Франции, Италии, Нидерландов, Испании, Объединенных Арабских Эмиратов, Великобритании и США, представляющие секторы технологий, производства, строительства, финансов и розничной торговли.
В середине января 2025 года была объявлена новая сеть аффилиатов, ориентированная на привлечение трафика для начальной фазы атак. Рекрутинговые активности нацелены на специалистов, способных направлять жертв на вредоносные страницы, где развертывается дополнительное ПО для получения первоначального доступа.
Злоумышленники применяют Rclone для экспорта данных на облачный сервис MEGA, что позволяет скрывать следы утечек. В некоторых случаях клиент MEGA устанавливался непосредственно на зараженные системы, а как минимум восемь аккаунтов создавались с использованием временных адресов от YOPmail для хранения скомпрометированных данных.
Анализ исходного кода и ransom note выявил сходства с группой DragonForce, разработанной на Visual C++, в то время как BlackLock полностью реализован на языке Go. Эти наблюдения подчеркивают параллели в методиках, несмотря на различия в технической базе разработки.
Оператор с псевдонимом "$$$", являющийся одним из ключевых участников BlackLock, запустил короткоживущий проект Mamona ransomware 11 марта 2025 года. Этот проект оказался связан с рядом инцидентов, включая дефейсинг DLS: 19 марта 2025 года сайт Mamona был изменен, а 20 марта 2025 года DragonForce взломала DLS BlackLock, вероятно, используя аналогичную LFI-уязвимость, что привело к утечке конфигурационных файлов и внутренних переписок.
Наблюдения экспертов Resecurity позволяют предположить, что «новые мастера, вероятно, захватили проект и его аффилированную сеть в результате консолидации рынка программ-вымогателей». Данное предположение вызывает вопросы о том, произошло ли сотрудничество между группами BlackLock и DragonForce, или же имела место тихая смена руководства.
Отсутствие явного удивления оператора "$$$" после инцидентов может свидетельствовать о его осведомленности о компрометации операций и о том, что его молчаливый выход из проекта был продуманным шагом в условиях текущей рыночной и внутренней нестабильности.
Изображение носит иллюстративный характер
Изъятая информация включала конфигурационные файлы, учетные данные и полную историю команд, выполненных на сервере. Такой подробный лог операций свидетельствует об одной из крупнейших ошибок операционной безопасности (OPSEC) группы, оставившей значительные следы для анализа экспертов.
BlackLock, являющийся ребрендированной версией группы Eldorado, стал одним из самых активных синдикатов программ-вымогателей в 2025 году. По данным DLS, на данный момент зафиксировано 46 жертв – организации из Аргентины, Арубы, Бразилии, Канады, Конго, Хорватии, Перу, Франции, Италии, Нидерландов, Испании, Объединенных Арабских Эмиратов, Великобритании и США, представляющие секторы технологий, производства, строительства, финансов и розничной торговли.
В середине января 2025 года была объявлена новая сеть аффилиатов, ориентированная на привлечение трафика для начальной фазы атак. Рекрутинговые активности нацелены на специалистов, способных направлять жертв на вредоносные страницы, где развертывается дополнительное ПО для получения первоначального доступа.
Злоумышленники применяют Rclone для экспорта данных на облачный сервис MEGA, что позволяет скрывать следы утечек. В некоторых случаях клиент MEGA устанавливался непосредственно на зараженные системы, а как минимум восемь аккаунтов создавались с использованием временных адресов от YOPmail для хранения скомпрометированных данных.
Анализ исходного кода и ransom note выявил сходства с группой DragonForce, разработанной на Visual C++, в то время как BlackLock полностью реализован на языке Go. Эти наблюдения подчеркивают параллели в методиках, несмотря на различия в технической базе разработки.
Оператор с псевдонимом "$$$", являющийся одним из ключевых участников BlackLock, запустил короткоживущий проект Mamona ransomware 11 марта 2025 года. Этот проект оказался связан с рядом инцидентов, включая дефейсинг DLS: 19 марта 2025 года сайт Mamona был изменен, а 20 марта 2025 года DragonForce взломала DLS BlackLock, вероятно, используя аналогичную LFI-уязвимость, что привело к утечке конфигурационных файлов и внутренних переписок.
Наблюдения экспертов Resecurity позволяют предположить, что «новые мастера, вероятно, захватили проект и его аффилированную сеть в результате консолидации рынка программ-вымогателей». Данное предположение вызывает вопросы о том, произошло ли сотрудничество между группами BlackLock и DragonForce, или же имела место тихая смена руководства.
Отсутствие явного удивления оператора "$$$" после инцидентов может свидетельствовать о его осведомленности о компрометации операций и о том, что его молчаливый выход из проекта был продуманным шагом в условиях текущей рыночной и внутренней нестабильности.