{"id":1643892,"date":"2025-03-29T04:15:08","date_gmt":"2025-03-29T04:15:08","guid":{"rendered":"https:\/\/teknomers.com\/es\/ransomware-blacklock-expuesto-despues-de-que-los-investigadores-explotan-la-vulnerabilidad-del-sitio-de-fuga\/"},"modified":"2025-03-29T04:15:13","modified_gmt":"2025-03-29T04:15:13","slug":"ransomware-blacklock-expuesto-despues-de-que-los-investigadores-explotan-la-vulnerabilidad-del-sitio-de-fuga","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/ransomware-blacklock-expuesto-despues-de-que-los-investigadores-explotan-la-vulnerabilidad-del-sitio-de-fuga\/","title":{"rendered":"Ransomware Blacklock expuesto despu\u00e9s de que los investigadores explotan la vulnerabilidad del sitio de fuga"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">29 de marzo de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cibercrimen \/ vulnerabilidad<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Ransomware-Blacklock-expuesto-despues-de-que-los-investigadores-explotan-la.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>En lo que es una instancia de pirateo de los piratas inform\u00e1ticos, los cazadores de amenazas han logrado infiltrarse en la infraestructura en l\u00ednea asociada con un grupo de ransomware llamado Blacklock, descubriendo informaci\u00f3n crucial sobre su modus operandi en el proceso. <\/p>\n<p>Resecurity dijo que identific\u00f3 una vulnerabilidad de seguridad en el sitio de fuga de datos (DLS) operado por el grupo de delitos electr\u00f3nicos que permiti\u00f3 extraer archivos de configuraci\u00f3n, credenciales, as\u00ed como el historial de comandos ejecutados en el servidor.<\/p>\n<p>El defecto se refiere a una &#8220;cierta configuraci\u00f3n err\u00f3nea en el sitio de fuga de datos (DLS) del ransomware BlackLock, lo que lleva a la divulgaci\u00f3n de direcciones IP de ClearNet relacionada con su infraestructura de red detr\u00e1s de Tor Hidden Services (alojamiento) e informaci\u00f3n de servicio adicional&#8221;, la compa\u00f1\u00eda &#8220;, la compa\u00f1\u00eda&#8221;, la compa\u00f1\u00eda &#8221; <a rel=\"noopener nofollow\" href=\"https:\/\/www.resecurity.com\/blog\/article\/blacklock-ransomware-a-late-holiday-gift-with-intrusion-into-the-threat-actors-infrastructure\" target=\"_blank\">dicho<\/a>.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1740827649_433_Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Describi\u00f3 la historia adquirida de los comandos como una de las mayores fallas de seguridad operativa (OPSEC) del ransomware Blacklock.<\/p>\n<p>Blacklock es una versi\u00f3n renombrada de otro grupo de ransomware conocido como <a rel=\"noopener nofollow\" href=\"https:\/\/www.blackfog.com\/cybersecurity-101\/el-dorado-ransomware-gang\/\" target=\"_blank\">Eldorado<\/a>. Desde entonces, se ha convertido en uno de los sindicatos de extorsi\u00f3n m\u00e1s activos en 2025, muy apuntando a la tecnolog\u00eda, la fabricaci\u00f3n, la construcci\u00f3n, las finanzas y los sectores minoristas. Hasta el mes pasado, ha enumerado 46 v\u00edctimas en su sitio.<\/p>\n<p>Las organizaciones impactadas se encuentran en Argentina, Aruba, Brasil, Canad\u00e1, Congo, Croacia, Per\u00fa, Francia, Italia, Pa\u00edses Bajos, Espa\u00f1a, Emiratos \u00c1rabes Unidos, Reino Unido y Estados Unidos.<\/p>\n<p>El grupo, que anunci\u00f3 el lanzamiento de una red de afiliados subterr\u00e1neas a mediados de enero de 2025, tambi\u00e9n se ha observado que reclutan activamente traficantes para facilitar las primeras etapas de los ataques al dirigir a las v\u00edctimas a p\u00e1ginas maliciosas que despliegan malware capaz de establecer el acceso inicial a los sistemas comprometidos.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Ransomware-Blacklock-expuesto-despues-de-que-los-investigadores-explotan-la.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Ransomware-Blacklock-expuesto-despues-de-que-los-investigadores-explotan-la.png\" alt=\"\" border=\"0\" data-original-height=\"900\" data-original-width=\"1600\"\/><\/a><\/div>\n<p>La vulnerabilidad identificada por ReseCurity es una inclusi\u00f3n local de archivos (<a rel=\"noopener nofollow\" href=\"https:\/\/www.acunetix.com\/blog\/articles\/local-file-inclusion-lfi\/\" target=\"_blank\">LFI<\/a>) Error, esencialmente enga\u00f1ando al servidor web para filtrar informaci\u00f3n confidencial al realizar un ataque transversal de ruta, incluido el historial de comandos ejecutados por los operadores en el sitio de fuga.<\/p>\n<p>Algunos de los hallazgos notables se enumeran a continuaci\u00f3n &#8211;<\/p>\n<ul>\n<li>El uso de RClone para exfiltrar datos al servicio de almacenamiento en la nube Mega, en algunos casos incluso instalando el mega cliente directamente en los sistemas de v\u00edctimas<\/li>\n<li>Los actores de amenaza han creado al menos ocho cuentas en mega utilizando direcciones de correo electr\u00f3nico desechables creadas a trav\u00e9s de Yopmail (por ejemplo, &#8220;zubinnecrouzo-6860@yopmail.com&#8221;) para almacenar los datos de las v\u00edctimas<\/li>\n<li>Una ingenier\u00eda inversa del ransomware ha descubierto el c\u00f3digo fuente y las similitudes de notas de rescate con otra tensi\u00f3n de ransomware codificada <a rel=\"noopener nofollow\" href=\"https:\/\/www.resecurity.com\/blog\/article\/dragonforce-ransomware-reverse-engineering-report\" target=\"_blank\">Dragonforce<\/a>que tiene <a rel=\"noopener nofollow\" href=\"https:\/\/www.resecurity.com\/blog\/article\/dragonforce-ransomware-group-is-targeting-saudi-arabia\" target=\"_blank\">dirigido<\/a> Organizaciones en Arabia Saudita (mientras que Dragonforce est\u00e1 escrita en Visual C ++, Blacklock usa Go)<\/li>\n<li>&#8220;$$$&#8221;, uno de los principales operadores de Blacklock, lanz\u00f3 un proyecto de ransomware de corta duraci\u00f3n llamado Mamona el 11 de marzo de 2025<\/li>\n<\/ul>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/El-pico-de-Botnet-de-Vo1d-supera-a-159-millones.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En un giro intrigante, DLS de Blacklock fue desfigurado por Dragonforce el 20 de marzo, probablemente explotando la misma vulnerabilidad de LFI (o algo similar), con archivos de configuraci\u00f3n y chats internos filtrados en su p\u00e1gina de destino. Un d\u00eda anterior, el DLS de Ransomware de Mamona tambi\u00e9n fue desfigurado.<\/p>\n<p>&#8220;No est\u00e1 claro si el ransomware Blacklock (como grupo) comenz\u00f3 a cooperar con el ransomware de DragonForce o en la transici\u00f3n en silencio bajo la nueva propiedad&#8221;, dijo ReseCurity. &#8220;Los nuevos maestros probablemente se hicieron cargo del proyecto y su base de afiliados debido a la consolidaci\u00f3n del mercado de ransomware, comprender a sus sucesores anteriores podr\u00eda verse comprometido&#8221;.<\/p>\n<p>&#8220;El actor clave &#8216;$$$&#8217; no comparti\u00f3 ninguna sorpresa despu\u00e9s de incidentes con ransomware Blacklock y Mamona. Es posible que el actor estuviera completamente consciente de que sus operaciones ya podr\u00edan estar comprometidas, por lo que la &#8216;salida&#8217; silenciosa del proyecto anterior podr\u00eda ser la opci\u00f3n m\u00e1s racional&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/blacklock-ransomware-exposed-after.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80229 de marzo de 2025\ue804Ravie LakshmananCibercrimen \/ vulnerabilidad En lo que es una instancia de pirateo de los<\/p>\n","protected":false},"author":1,"featured_media":1643893,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,290203,4664,38,755,8513,58836,12129,12583,273784,36,273783,4654,273782,4659,4653,4655,4883,246983,4665,246984,2348,455,4014,239484],"class_list":["post-1643892","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-blacklock","tag-como-hackear","tag-del","tag-despues","tag-explotan","tag-expuesto","tag-fuga","tag-investigadores","tag-las-noticias-del-hacker","tag-los","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-ransomware","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-sitio","tag-violacion","tag-vulnerabilidad","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1643892","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1643892"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1643892\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1643893"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1643892"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1643892"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1643892"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}