Hacker’ları hackleme örneğinde, tehdit avcıları Blacklock adlı bir fidye yazılımı grubuyla ilişkili çevrimiçi altyapıya sızmayı başardılar ve süreçte modus operandi hakkında önemli bilgileri ortaya çıkardılar.
Resculity, e-suç grubu tarafından çalıştırılan ve yapılandırma dosyalarını, kimlik bilgilerini ve sunucuda yürütülen komutların geçmişini çıkarmayı mümkün kılan Veri Sızıntısı Sitesinde (DLS) bir güvenlik açığı belirlediğini söyledi.
Kusur, “BlackLock fidye yazılımlarının veri sızıntı sitesinde (DLS) belirli bir yanlış yapılandırma ile ilgilidir, bu da ClearNet IP adreslerinin Tor Gizli Hizmetleri (barındırma) ve ek hizmet bilgileri ile ilgili ağ altyapılarıyla ilgili açıklamalarına yol açar,” Şirket söz konusu.
Edinilmiş komut geçmişini Blacklock fidye yazılımlarının en büyük operasyonel güvenlik (OPSEC) başarısızlıklarından biri olarak tanımladı.
Blacklock, olarak bilinen başka bir fidye yazılımı grubunun yeniden markalı bir versiyonudur. Eldorado. O zamandan beri 2025’te teknoloji, üretim, inşaat, finans ve perakende sektörlerini yoğun bir şekilde hedefleyen en aktif gasp sendikalarından biri haline geldi. Geçen ay itibariyle, sitesinde 46 kurban listeledi.
Etkilenen örgütler Arjantin, Aruba, Brezilya, Kanada, Kongo, Hırvatistan, Peru, Fransa, İtalya, Hollanda, İspanya, Birleşik Arap Emirlikleri, İngiltere ve ABD’de bulunmaktadır.
Ocak ayı ortalarında bir yeraltı bağlı kuruluş ağının başlatıldığını duyuran grup, kurbanları tehlikeye atılan sistemlere başlangıç erişimini sağlayabilen kötü amaçlı yazılımlara yönlendirerek saldırıların erken aşamalarını kolaylaştırmak için kaçakları aktif olarak işe alıyor.
Reserlikle tanımlanan güvenlik açığı yerel bir dosya dahildir (LFI) Bu hata, esasen, sızıntı bölgesindeki operatörler tarafından yürütülen komutların geçmişi de dahil olmak üzere bir yol geçiş saldırısı gerçekleştirerek hassas bilgileri sızdırmaz.
Dikkate değer bulgulardan bazıları aşağıda listelenmiştir –
- Mega Bulut Depolama Hizmetine verileri dışarı atmak için RCLone kullanımı, bazı durumlarda Mega İstemciyi doğrudan kurban sistemlerine yüklemek bile
- Tehdit aktörleri, kurban verilerini saklamak için Yopmail (örneğin, “[email protected]”) aracılığıyla oluşturulan tek kullanımlık e-posta adreslerini kullanarak Mega’da en az sekiz hesap oluşturdu.
- Fidye yazılımının ters mühendisliği, kaynak kodunu ortaya çıkardı ve fidye notu benzerlikleri başka bir fidye yazılımı suşu kodlu Dragonforcehangisi hedefli Suudi Arabistan’daki kuruluşlar (Dragonforce Visual C ++ ‘da yazılırken, Blacklock Go kullanıyor)
- Blacklock’un ana operatörlerinden biri olan “$$$”, 11 Mart 2025’te Mamona adlı kısa ömürlü bir fidye yazılımı projesi başlattı
İlginç bir bükülmede, Blacklock’un DLS, 20 Mart’ta Dragonforce tarafından – muhtemelen aynı LFI güvenlik açığını (veya benzer bir şey) kullanarak – açılış sayfasında sızan yapılandırma dosyaları ve dahili sohbetlerle tahrif edildi. Bir gün önce, Mamona fidye yazılımının DLS’si de tahrif edildi.
Resecurity, “Blacklock fidye yazılımı (grup olarak) Dragonforce fidye yazılımı ile işbirliği yapmaya veya yeni mülkiyet altında sessizce geçip geçmediği belirsiz.” Dedi. Diyerek şöyle devam etti: “Yeni Üstatlar, fidye yazılımı pazar konsolidasyonu nedeniyle projeyi ve bağlı kuruluş tabanlarını devraldı, önceki haleflerinin anlaşılabileceğini anlamak tehlikeye atılabilir.”
“Kilit aktör ‘$$$’, Blacklock ve Mamona fidye yazılımı ile olaylardan sonra herhangi bir sürpriz paylaşmadı. Aktör, operasyonlarının zaten tehlikeye atılabileceğinin tamamen farkındaydı, bu yüzden önceki projeden sessiz ‘çıkış’ en rasyonel seçenek olabilir.”
