Dans ce qui est une instance de piratage des pirates, les chasseurs de menaces ont réussi à infiltrer l’infrastructure en ligne associée à un groupe de ransomwares appelé Blacklock, en découvrant des informations cruciales sur leur modus operandi dans le processus.
Resesecurity a déclaré avoir identifié une vulnérabilité de sécurité dans le site de fuite de données (DLS) exploité par le groupe de crime électronique qui a permis d’extraire des fichiers de configuration, des informations d’identification, ainsi que l’historique des commandes exécutées sur le serveur.
Le défaut concerne une “erreur de configuration dans le site de fuite de données (DLS) du ransomware Blacklock, conduisant à la divulgation d’adresses IP ClearNet liées à leur infrastructure réseau derrière les services cachés Tor (les hébergeant) et les informations de service supplémentaires”, la société dit.
Il a décrit l’histoire acquise des commandes comme l’une des plus grandes échecs de sécurité opérationnelle (OPSEC) du ransomware Blacklock.
Blacklock est une version rebaptisée d’un autre groupe de ransomwares appelé Eldorado. Il est depuis devenu l’un des syndicats d’extorsion les plus actifs en 2025, ciblant fortement les secteurs de la technologie, de la fabrication, de la construction, de la finance et du commerce de détail. Le mois dernier, il a inscrit 46 victimes sur son site.
Les organisations touchées sont situées en Argentine, à Aruba, au Brésil, au Canada, au Congo, en Croatie, au Pérou, en France, en Italie, aux Pays-Bas, en Espagne, aux Émirats arabes unis, au Royaume-Uni et aux États-Unis.
Le groupe, qui a annoncé le lancement d’un réseau d’affiliation Underground à la mi-janvier 2025, a également été observé en recrutant activement des trafics pour faciliter les premiers stades des attaques en dirigeant les victimes vers des pages malveillantes qui déploient des logiciels malveillants capables d’établir un accès initial à des systèmes compromis.
La vulnérabilité identifiée par la réécurité est une inclusion de fichiers locale (LFI) Bogue, incitant essentiellement le serveur Web en fuite d’informations sensibles en effectuant une attaque de traversée de chemin, y compris l’historique des commandes exécutées par les opérateurs sur le site de fuite.
Certaines conclusions notables sont répertoriées ci-dessous –
- L’utilisation de RClone pour exfiltrer les données au Mega Cloud Storage Service, dans certains cas, même l’installation du Mega Client directement sur les systèmes de victimes
- Les acteurs de la menace ont créé au moins huit comptes sur Mega en utilisant des adresses e-mail jetables créées via Yopmail (par exemple, “[email protected]”) pour stocker les données de la victime
- Une ingénierie inverse du ransomware a découvert le code source et les similitudes de note de rançon avec une autre souche de ransomware nommé nommé Dragonforcequi a ciblé Organisations en Arabie saoudite (tandis que Dragonforce est écrit en visuel C ++, Blacklock utilise Go)
- “$$$”, l’un des principaux opérateurs de Blacklock, a lancé un projet de ransomware de courte durée appelé Mamona le 11 mars 2025
Dans une tournure intrigante, le DLS de Blacklock a été dégradé par DragonForce le 20 mars – probablement en exploitant la même vulnérabilité LFI (ou quelque chose de similaire) – avec des fichiers de configuration et des chats internes divulgués sur sa page de destination. Une journée auparavant, le DLS du ransomware de Mamona a également été dégradé.
“Il n’est pas clair si Blacklock Ransomware (en tant que groupe) a commencé à coopérer avec DragonForce Ransomware ou a silencieusement transféré sous la nouvelle propriété”, a déclaré Resecurity. “Les nouveaux maîtres ont probablement repris le projet et leur base d’affiliation en raison de la consolidation du marché des ransomwares, la compréhension de leurs successeurs précédents pourrait être compromis.”
“L’acteur clé ‘$$$’ n’a pas partagé de surprise après des incidents avec Blacklock et Mamona Ransomware. Il est possible que l’acteur soit pleinement conscient que ses opérations pouvaient déjà être compromises, donc la` `sortie ” silencieuse du projet précédent pourrait être l’option la plus rationnelle.”




