Infiltrazione nei sistemi dei BlackLock: scoperta una vulnerabilità critica
I cacciatori di minacce hanno compiuto un notevole passo avanti infiltrandosi nell’infrastruttura online del gruppo ransomware noto come BlackLock. Questa operazione ha permesso di svelare informazioni cruciali sul loro modus operandi. Resecurity ha identificato una vulnerabilità di sicurezza nel sito di fuga di dati (DLS) gestito dal gruppo di e-crime, che ha reso possibile l’estrazione di file di configurazione, credenziali e la cronologia dei comandi eseguiti sul server.
Dettagli della vulnerabilità
La falla riguarda una “certa misconfigurazione nel Data Leak Site (DLS) di BlackLock Ransomware, che ha portato alla divulgazione di indirizzi IP in chiaro relativi alla loro infrastruttura di rete dietro i servizi nascosti TOR e ulteriori informazioni sui servizi,” ha dichiarato l’azienda. La cronologia dei comandi acquisita è stata descritta come uno dei più grandi fallimenti di sicurezza operativa (OPSEC) del ransomware BlackLock.
BlackLock: un’evoluzione di Eldorado
BlackLock è una versione rinnovata di un altro gruppo ransomware noto come Eldorado. Da allora è diventato uno dei sindacati di estorsione più attivi nel 2025, prendendo di mira pesantemente i settori della tecnologia, della manifattura, delle costruzioni, della finanza e del retail. Fino al mese scorso, ha elencato 46 vittime sul suo sito. Le organizzazioni colpite si trovano in Argentina, Aruba, Brasile, Canada, Congo, Croazia, Perù, Francia, Italia, Paesi Bassi, Spagna, Emirati Arabi Uniti, Regno Unito e Stati Uniti.
Reclutamento e attacchi iniziali
Il gruppo, che ha annunciato il lancio di una rete di affiliati sotterranea a metà gennaio 2025, è stato osservato mentre reclutava attivamente traffers per facilitare le fasi iniziali degli attacchi, indirizzando le vittime a pagine dannose che distribuiscono malware in grado di stabilire l’accesso iniziale ai sistemi compromessi.
La vulnerabilità LFI
La vulnerabilità identificata da Resecurity è un bug di inclusione di file locali (LFI), che essenzialmente inganna il server web facendogli trapelare informazioni sensibili attraverso un attacco di attraversamento del percorso, inclusa la cronologia dei comandi eseguiti dagli operatori sul sito di fuga.
Scoperte notevoli
Tra le scoperte più significative vi è l’uso di Rclone per esfiltrare dati al servizio di archiviazione cloud MEGA, in alcuni casi installando persino il client MEGA direttamente sui sistemi delle vittime. Gli attori della minaccia hanno creato almeno otto account su MEGA utilizzando indirizzi email usa e getta creati tramite YOPmail (ad esempio, “zubinnecrouzo-6860@yopmail.com”) per archiviare i dati delle vittime.
Un’analisi del ransomware ha rivelato somiglianze nel codice sorgente e nelle note di riscatto con un altro ceppo di ransomware chiamato DragonForce, che ha preso di mira organizzazioni in Arabia Saudita. Mentre DragonForce è scritto in Visual C++, BlackLock utilizza Go.
Intrighi e defacement
“$$$”, uno dei principali operatori di BlackLock, ha lanciato un progetto ransomware di breve durata chiamato Mamona l’11 marzo 2025. In un intrigante colpo di scena, il DLS di BlackLock è stato defacciato da DragonForce il 20 marzo, probabilmente sfruttando la stessa vulnerabilità LFI (o qualcosa di simile), con file di configurazione e chat interne trapelate sulla sua pagina di atterraggio.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
