✔ИБ-специалисты взломали инфраструктуру вымогательской группы BlackLock - «Новости»

30 марта 2025 62 Новости / Изображения / Сайтостроение / Преимущества стилей / Заработок / Типы носителей / Блог для вебмастеров / Самоучитель CSS / Текст / Добавления стилей / Отступы и поля / Списки / Статьи об афоризмах 0

Исследователи Resecurity рассказали, что они приняли непосредственное участие в ликвидации сайта группировки BlackLock, которая произошла на прошлой неделе. Дело в том, что эксперты обнаружили и эксплуатировали уязвимость на onion-сайте, который злоумышленники использовали для слива данных своих жертв.

По состоянию на 10 февраля 2025 года было выявлено 46 жертв BlackLock, в число которых вошли организации из разных сегментов экономики, включая: электронику, научные круги, религиозные организации, оборонные предприятия, здравоохранение, технологический сектор, поставщиков ИТ/MSP и государственные учреждения. Пострадавшие находились в Аргентине, Арубе, Бразилии, Канаде, Конго, Хорватии, Перу, Франции, Италии, Испании, Нидерландах, США, Великобритании и ОАЭ.

При этом есть основания полагать, что на деле хакерам удалось скомпрометировать гораздо больше жертв, просто их названия в настоящее время не разглашаются из-за продолжающихся попыток вымогательства.

Выявив неправильные настройки на сайте BlackLock, компания обнаружила реальные IP-адреса, связанные с инфраструктурой хостинга хакеров, а затем использовала уязвимость типа Local File Include (LFI) для сбора данных на стороне сервера, включая файлы конфигурации и учетные данные.

«Resecurity потратила немало времени на взлом хеша учетных записей хакеров, чтобы захватить инфраструктуру», — сообщается в блоге компании.

Собранные данные включали историю команд, которые вводил один из главных операторов BlackLock, известный под ником $$$. Среди команд встречались учетные данные, которые $$$ попросту копипастил, что, по мнению экспертов, стало крупнейшим OPSEC-провалом группировки.

ИБ-специалисты взломали инфраструктуру вымогательской группы BlackLock - «Новости»

Так, один из этих скопированных и вставленных паролей повторно использовался в нескольких других учетных записях, что открыло исследователям дополнительные возможности для изучения внутренней работы BlackLock.

Специалисты обнаружили, что в своих операциях группа полагается на популярный файлообменник Mega, используя его в процессе кражи данных. В частности, были найдены сразу восемь email-аккаунтов, которые использовались для доступа к клиенту Mega и утилите rclone для переноса данных жертв на сайт BlackLock.

В какой-то момент времени участники BlackLock даже использовали Mega для резервного копирования украденных данных, а в некоторых случаях устанавливали клиент Mega прямо на машины жертв, чтобы слив данных не выглядел слишком подозрительно.

В итоге эксперты использовали полученный доступ к инфраструктуре хак-группы, чтобы понять, когда BlackLock планирует сливать данные жертв, и оповестили об этом CERT-FR и французское агентство по кибербезопасности ANSSI, которые сообщили о происходящем пострадавшим.

Также удалось предупредить компанию-жертву из Канады, поделившись информацией об активности BlackLock с Канадским центром кибербезопасности. Жертве сообщили о планируемой утечке данных за 13 дней до их фактической публикации.

Хотя эксперты не смогли предотвратить атаки или слив украденных данных, они сумели предупредить пострадавших о том, что преступники планируют раскрыть украденную информацию, что позволило компаниям подготовиться и привести в порядок свои корпоративные коммуникации.

По словам аналитиков Resecurity, судя по всему, BlackLock действует из России, Китая или обеих стран сразу. На это указывают различные улики: сообщения и реклама группировки на хакерских форумах, написанные на русском и китайском языках; внутренние правила группы, запрещающие атаковать цели в странах альянса БРИКС и СНГ; основные IP-адреса, связанные с аккаунтами Mega.

Также экспертам удалось выдать себя за киберпреступников, которые хотят стать партнерами BlackLock и пообщаться с $$$ через Tox. Вся эта переписка велась на русском языке.

Компания заявляет, что на основании сообщений на хак-форуме Ramp и анализа сайта группировки ей удалось связать $$$ с другими хак-группами, включая El Dorado и Mamona.

«К примеру, после успешной атаки на компанию New River Electrical из Огайо, участники El Dorado также атаковали Колледж ветеринарной медицины (Университет штата Канзас) и город Пенсакола (Флорида), данные которых позже были опубликованы на сайте для слива данных BlackLock, — рассказывают эксперты.— Веб-интерфейс сайта El Dorado отличался от интерфейса сайта BlackLock, но у них практически идентичные списки жертв. Эти совпадения подтверждают наличие тесной связи между этими вымогательскими угрозами».

Стоит отметить, что ранее эксперты компаний Tripwire и BlackFog, уже писали о том, что вымогательская группировка BlackLock, появившаяся в конце 2024 года, может быть ребрендингом El Dorado, появившейся в марте прошлого года. При этом третью упомянутую группу, Mamona, $$$ запустил совсем недавно — 11 марта 2025 года.

Четвертой группировкой, связанной с активностью BlackLock, аналитики назвали DragonForce, которая существует с 2023 года и известна своими атаками на саудовские организации.

Resecurity сообщает, что 19 марта 2025 года DragonForce якобы дефейснула сайт BlackLock, и на главной странице ресурса были опубликованы файлы конфигурации и внутренние чаты.

По мнению исследователей, это может указывать на то, что участники DragonForce обнаружили схожую, если не ту же LFI-уязвимость в инфраструктуре BlackLock, которую сама Resecurity использовала для компрометации группировки.

Однако некоторые признаки свидетельствуют о том, что этот взлом мог быть операцией под ложным флагом, цель которой — скрыть тот факт, что $$$ перешел на сторону DragonForce. К примеру, в коде малвари BlackLock и DragonForce ранее были обнаружены идентичные модули. Также 28 февраля 2025 года в своем сообщении на форуме Ramp $$$ намекал на возможный уход, и совсем не удивился дефейсу сайта BlackLock и сайта Mamona, который произшел днем ранее.

«Возможно, злоумышленник прекрасно понимал, что его операции скомпрометированы, поэтому тихий „выход“ из предыдущего проекта мог представляться наиболее рациональным вариантом, — считают в Resecurity. — Примечательно, что он не выказал никакого гнева в отношении представителей DragonForce — напротив, назвал их “джентльменами”, что может служить подтверждением того, что эти события могли быть скоординированы».

После дефейса сайты BlackLock и Mamona были удалены, и специалисты не ожидают возвращения ни одной из этих группировок.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.

ИБ-компания Resecurity сообщила, что ее специалисты взломали инфраструктуру вымогательской группировки BlackLock и передали все собранные данные властям, которые использовали эту информацию для помощи жертвам хакеров. Исследователи Resecurity рассказали, что они приняли непосредственное участие в ликвидации сайта группировки BlackLock, которая произошла на прошлой неделе. Дело в том, что эксперты обнаружили и эксплуатировали уязвимость на onion-сайте, который злоумышленники использовали для слива данных своих жертв. По состоянию на 10 февраля 2025 года было выявлено 46 жертв BlackLock, в число которых вошли организации из разных сегментов экономики, включая: электронику, научные круги, религиозные организации, оборонные предприятия, здравоохранение, технологический сектор, поставщиков ИТ/MSP и государственные учреждения. Пострадавшие находились в Аргентине, Арубе, Бразилии, Канаде, Конго, Хорватии, Перу, Франции, Италии, Испании, Нидерландах, США, Великобритании и ОАЭ. При этом есть основания полагать, что на деле хакерам удалось скомпрометировать гораздо больше жертв, просто их названия в настоящее время не разглашаются из-за продолжающихся попыток вымогательства. Выявив неправильные настройки на сайте BlackLock, компания обнаружила реальные IP-адреса, связанные с инфраструктурой хостинга хакеров, а затем использовала уязвимость типа Local File Include (LFI) для сбора данных на стороне сервера, включая файлы конфигурации и учетные данные. «Resecurity потратила немало времени на взлом хеша учетных записей хакеров, чтобы захватить инфраструктуру», — сообщается в блоге компании. Собранные данные включали историю команд, которые вводил один из главных операторов BlackLock, известный под ником $$$. Среди команд встречались учетные данные, которые $$$ попросту копипастил, что, по мнению экспертов, стало крупнейшим OPSEC-провалом группировки. Так, один из этих скопированных и вставленных паролей повторно использовался в нескольких других учетных записях, что открыло исследователям дополнительные возможности для изучения внутренней работы BlackLock. Специалисты обнаружили, что в своих операциях группа полагается на популярный файлообменник Mega, используя его в процессе кражи данных. В частности, были найдены сразу восемь email-аккаунтов, которые использовались для доступа к клиенту Mega и утилите rclone для переноса данных жертв на сайт BlackLock. В какой-то момент времени участники BlackLock даже использовали Mega для резервного копирования украденных данных, а в некоторых случаях устанавливали клиент Mega прямо на машины жертв, чтобы слив данных не выглядел слишком подозрительно. В итоге эксперты использовали полученный доступ к инфраструктуре хак-группы, чтобы понять, когда BlackLock планирует сливать данные жертв, и оповестили об этом CERT-FR и французское агентство по кибербезопасности ANSSI, которые сообщили о происходящем пострадавшим. Также удалось предупредить компанию-жертву из Канады, поделившись информацией об активности BlackLock с Канадским центром кибербезопасности. Жертве сообщили о планируемой утечке данных за 13 дней до их фактической публикации. Хотя эксперты не смогли предотвратить атаки или слив украденных данных, они сумели предупредить пострадавших о том, что преступники планируют раскрыть украденную информацию, что позволило компаниям подготовиться и привести в порядок свои корпоративные коммуникации. По словам аналитиков Resecurity, судя по всему, BlackLock действует из России, Китая или обеих стран сразу. На это указывают различные улики: сообщения и реклама группировки на хакерских форумах, написанные на русском и китайском языках; внутренние правила группы, запрещающие атаковать цели в странах альянса БРИКС и СНГ; основные IP-адреса, связанные с аккаунтами Mega. Также экспертам удалось выдать себя за киберпреступников, которые хотят стать партнерами BlackLock и пообщаться с $$$ через Tox. Вся эта переписка велась на русском языке. Компания заявляет, что на основании сообщений на хак-форуме Ramp и анализа сайта группировки ей удалось связать $$$ с другими хак-группами, включая El Dorado и Mamona. «К примеру, после успешной атаки на компанию New River Electrical из Огайо, участники El Dorado также атаковали Колледж ветеринарной медицины (Университет штата Канзас) и город Пенсакола (Флорида), данные которых позже были опубликованы на сайте для слива данных BlackLock, — рассказывают эксперты.— Веб-интерфейс сайта El Dorado отличался от интерфейса сайта BlackLock, но у них практически идентичные списки жертв. Эти совпадения подтверждают наличие тесной связи между этими вымогательскими угрозами». Стоит отметить, что ранее эксперты компаний Tripwire и BlackFog, уже писали о том, что вымогательская группировка BlackLock, появившаяся в конце 2024 года, может быть ребрендингом El Dorado, появившейся в марте прошлого года. При этом третью упомянутую группу, Mamona, $$$ запустил совсем недавно — 11 марта 2025 года. Четвертой группировкой, связанной с активностью BlackLock, аналитики назвали DragonForce, которая существует с 2023 года и известна своими атаками на саудовские организации. Resecurity сообщает, что 19 марта 2025 года DragonForce якобы дефейснула сайт BlackLock, и на главной странице ресурса были опубликованы файлы конфигурации и внутренние чаты. По мнению исследователей, это может указывать на то, что участники DragonForce обнаружили схожую, если не ту же LFI-уязвимость в инфраструктуре BlackLock, которую сама Resecurity использовала для компрометации группировки. Однако некоторые признаки свидетельствуют о том, что этот взлом мог быть операцией под ложным флагом, цель которой — скрыть тот факт, что $$$ перешел на сторону DragonForce. К примеру, в коде малвари BlackLock и DragonForce ранее были обнаружены идентичные модули. Также 28 февраля 2025 года в своем сообщении на форуме Ramp $$$ намекал на возможный уход, и совсем не удивился дефейсу сайта BlackLock и сайта Mamona, который произшел днем ранее. «Возможно, злоумышленник прекрасно понимал, что его операции скомпрометированы, поэтому тихий „выход“ из предыдущего проекта мог представляться наиболее рациональным вариантом, — считают в Resecurity. — Примечательно, что он не выказал никакого гнева в отношении представителей DragonForce — напротив, назвал их “джентльменами”, что может служить подтверждением того, что эти события могли быть скоординированы». После дефейса сайты BlackLock и Mamona были удалены, и специалисты не ожидают возвращения ни одной из этих группировок.

запостил(а)

Родион

Вернуться назад

Смотрите также

Исследователи связывают группировку YoroTrooper с Казахстаном - «Новости»

Злоумышленники используют софт для изменения голоса, чтобы обмануть своих жертв - «Новости»

Уязвимость в PHP используется для доставки бэкдора Msupedge - «Новости»

За один день группа TA558 разослала более 76 000 фишинговых писем - «Новости»

А что там на главной? )))

Комментарии )))

« Апрель 2025 »
Пн	Вт	Ср	Чт	Пт	Сб	Вс
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30