{"id":1600739,"date":"2025-03-29T02:52:36","date_gmt":"2025-03-29T04:52:36","guid":{"rendered":"https:\/\/teknomers.com\/fr\/ransomware-blacklock-expose-apres-que-les-chercheurs-ont-exploite-la-vulnerabilite-du-site-de-fuite\/"},"modified":"2025-03-29T02:52:41","modified_gmt":"2025-03-29T04:52:41","slug":"ransomware-blacklock-expose-apres-que-les-chercheurs-ont-exploite-la-vulnerabilite-du-site-de-fuite","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/ransomware-blacklock-expose-apres-que-les-chercheurs-ont-exploite-la-vulnerabilite-du-site-de-fuite\/","title":{"rendered":"Ransomware Blacklock expos\u00e9 apr\u00e8s que les chercheurs ont exploit\u00e9 la vuln\u00e9rabilit\u00e9 du site de fuite"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">29 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cybercriminalit\u00e9 \/ vuln\u00e9rabilit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Ransomware-Blacklock-expose-apres-que-les-chercheurs-ont-exploite-la.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Dans ce qui est une instance de piratage des pirates, les chasseurs de menaces ont r\u00e9ussi \u00e0 infiltrer l&#8217;infrastructure en ligne associ\u00e9e \u00e0 un groupe de ransomwares appel\u00e9 Blacklock, en d\u00e9couvrant des informations cruciales sur leur modus operandi dans le processus. <\/p>\n<p>Resesecurity a d\u00e9clar\u00e9 avoir identifi\u00e9 une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 dans le site de fuite de donn\u00e9es (DLS) exploit\u00e9 par le groupe de crime \u00e9lectronique qui a permis d&#8217;extraire des fichiers de configuration, des informations d&#8217;identification, ainsi que l&#8217;historique des commandes ex\u00e9cut\u00e9es sur le serveur.<\/p>\n<p>Le d\u00e9faut concerne une &#8220;erreur de configuration dans le site de fuite de donn\u00e9es (DLS) du ransomware Blacklock, conduisant \u00e0 la divulgation d&#8217;adresses IP ClearNet li\u00e9es \u00e0 leur infrastructure r\u00e9seau derri\u00e8re les services cach\u00e9s Tor (les h\u00e9bergeant) et les informations de service suppl\u00e9mentaires&#8221;, la soci\u00e9t\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/www.resecurity.com\/blog\/article\/blacklock-ransomware-a-late-holiday-gift-with-intrusion-into-the-threat-actors-infrastructure\" target=\"_blank\">dit<\/a>.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Il a d\u00e9crit l&#8217;histoire acquise des commandes comme l&#8217;une des plus grandes \u00e9checs de s\u00e9curit\u00e9 op\u00e9rationnelle (OPSEC) du ransomware Blacklock.<\/p>\n<p>Blacklock est une version rebaptis\u00e9e d&#8217;un autre groupe de ransomwares appel\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/www.blackfog.com\/cybersecurity-101\/el-dorado-ransomware-gang\/\" target=\"_blank\">Eldorado<\/a>. Il est depuis devenu l&#8217;un des syndicats d&#8217;extorsion les plus actifs en 2025, ciblant fortement les secteurs de la technologie, de la fabrication, de la construction, de la finance et du commerce de d\u00e9tail. Le mois dernier, il a inscrit 46 victimes sur son site.<\/p>\n<p>Les organisations touch\u00e9es sont situ\u00e9es en Argentine, \u00e0 Aruba, au Br\u00e9sil, au Canada, au Congo, en Croatie, au P\u00e9rou, en France, en Italie, aux Pays-Bas, en Espagne, aux \u00c9mirats arabes unis, au Royaume-Uni et aux \u00c9tats-Unis.<\/p>\n<p>Le groupe, qui a annonc\u00e9 le lancement d&#8217;un r\u00e9seau d&#8217;affiliation Underground \u00e0 la mi-janvier 2025, a \u00e9galement \u00e9t\u00e9 observ\u00e9 en recrutant activement des trafics pour faciliter les premiers stades des attaques en dirigeant les victimes vers des pages malveillantes qui d\u00e9ploient des logiciels malveillants capables d&#8217;\u00e9tablir un acc\u00e8s initial \u00e0 des syst\u00e8mes compromis.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Ransomware-Blacklock-expose-apres-que-les-chercheurs-ont-exploite-la.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Ransomware-Blacklock-expose-apres-que-les-chercheurs-ont-exploite-la.png\" alt=\"\" border=\"0\" data-original-height=\"900\" data-original-width=\"1600\"\/><\/a><\/div>\n<p>La vuln\u00e9rabilit\u00e9 identifi\u00e9e par la r\u00e9\u00e9curit\u00e9 est une inclusion de fichiers locale (<a rel=\"noopener nofollow\" href=\"https:\/\/www.acunetix.com\/blog\/articles\/local-file-inclusion-lfi\/\" target=\"_blank\">LFI<\/a>) Bogue, incitant essentiellement le serveur Web en fuite d&#8217;informations sensibles en effectuant une attaque de travers\u00e9e de chemin, y compris l&#8217;historique des commandes ex\u00e9cut\u00e9es par les op\u00e9rateurs sur le site de fuite.<\/p>\n<p>Certaines conclusions notables sont r\u00e9pertori\u00e9es ci-dessous &#8211;<\/p>\n<ul>\n<li>L&#8217;utilisation de RClone pour exfiltrer les donn\u00e9es au Mega Cloud Storage Service, dans certains cas, m\u00eame l&#8217;installation du Mega Client directement sur les syst\u00e8mes de victimes<\/li>\n<li>Les acteurs de la menace ont cr\u00e9\u00e9 au moins huit comptes sur Mega en utilisant des adresses e-mail jetables cr\u00e9\u00e9es via Yopmail (par exemple, &#8220;Zubinnecrouzo-6860@yopmail.com&#8221;) pour stocker les donn\u00e9es de la victime<\/li>\n<li>Une ing\u00e9nierie inverse du ransomware a d\u00e9couvert le code source et les similitudes de note de ran\u00e7on avec une autre souche de ransomware nomm\u00e9 nomm\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/www.resecurity.com\/blog\/article\/dragonforce-ransomware-reverse-engineering-report\" target=\"_blank\">Dragonforce<\/a>qui a <a rel=\"noopener nofollow\" href=\"https:\/\/www.resecurity.com\/blog\/article\/dragonforce-ransomware-group-is-targeting-saudi-arabia\" target=\"_blank\">cibl\u00e9<\/a> Organisations en Arabie saoudite (tandis que Dragonforce est \u00e9crit en visuel C ++, Blacklock utilise Go)<\/li>\n<li>&#8220;$$$&#8221;, l&#8217;un des principaux op\u00e9rateurs de Blacklock, a lanc\u00e9 un projet de ransomware de courte dur\u00e9e appel\u00e9 Mamona le 11 mars 2025<\/li>\n<\/ul>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Dans une tournure intrigante, le DLS de Blacklock a \u00e9t\u00e9 d\u00e9grad\u00e9 par DragonForce le 20 mars &#8211; probablement en exploitant la m\u00eame vuln\u00e9rabilit\u00e9 LFI (ou quelque chose de similaire) &#8211; avec des fichiers de configuration et des chats internes divulgu\u00e9s sur sa page de destination. Une journ\u00e9e auparavant, le DLS du ransomware de Mamona a \u00e9galement \u00e9t\u00e9 d\u00e9grad\u00e9.<\/p>\n<p>&#8220;Il n&#8217;est pas clair si Blacklock Ransomware (en tant que groupe) a commenc\u00e9 \u00e0 coop\u00e9rer avec DragonForce Ransomware ou a silencieusement transf\u00e9r\u00e9 sous la nouvelle propri\u00e9t\u00e9&#8221;, a d\u00e9clar\u00e9 Resecurity. &#8220;Les nouveaux ma\u00eetres ont probablement repris le projet et leur base d&#8217;affiliation en raison de la consolidation du march\u00e9 des ransomwares, la compr\u00e9hension de leurs successeurs pr\u00e9c\u00e9dents pourrait \u00eatre compromis.&#8221;<\/p>\n<p>&#8220;L&#8217;acteur cl\u00e9 &#8216;$$$&#8217; n&#8217;a pas partag\u00e9 de surprise apr\u00e8s des incidents avec Blacklock et Mamona Ransomware. Il est possible que l&#8217;acteur soit pleinement conscient que ses op\u00e9rations pouvaient d\u00e9j\u00e0 \u00eatre compromises, donc la` `sortie &#8221; silencieuse du projet pr\u00e9c\u00e9dent pourrait \u00eatre l&#8217;option la plus rationnelle.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/blacklock-ransomware-exposed-after.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80229 mars 2025\ue804Ravie LakshmananCybercriminalit\u00e9 \/ vuln\u00e9rabilit\u00e9 Dans ce qui est une instance de piratage des pirates, les chasseurs de menaces ont r\u00e9ussi \u00e0 infiltrer l&#8217;infrastructure en ligne associ\u00e9e \u00e0 un groupe de ransomwares appel\u00e9 Blacklock, en d\u00e9couvrant des informations cruciales sur leur modus operandi dans le processus. Resesecurity a d\u00e9clar\u00e9 avoir identifi\u00e9 une vuln\u00e9rabilit\u00e9 de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1600740,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,271,290777,12848,4168,79002,274264,4161,274263,6124,7727,16209,7748,65,274267,4160,249,4392,238617,246491,4172,2648,79016,4166,3667,4164],"class_list":["post-1600739","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-apres","tag-blacklock","tag-chercheurs","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-exploite","tag-expose","tag-fuite","tag-les","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-ont","tag-ransomware","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-site","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1600739","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1600739"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1600739\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1600740"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1600739"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1600739"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1600739"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}