Contraataque exitoso: expertos vulneran sitio de BlackLock y revelan sus tácticas
En un caso de hackear a los hackers maliciosos, cazadores de amenazas han logrado infiltrarse en la infraestructura en línea del grupo de ransomware BlackLock, descubriendo información crucial sobre sus modus operandi en el proceso.
Expertos han informado que identificaron una vulnerabilidad de seguridad en el sitio de filtración de datos operado por dicho grupo delictivo, lo que ha permitido extraer archivos de configuración, credenciales y el historial de comandos ejecutados en el servidor.
La falla se debe a una cierta mala configuración en el sitio de filtración de datos o DLS de BlackLock Ransomware, el cual reveló direcciones IP de Clearnet relacionadas con su infraestructura detrás de servicios ocultos de TOR que los alojan, e información adicional de servicios, han explicado diversas empresas.
Del mismo modo, han calificado el historial de comandos obtenidos como uno de los mayores fallos de seguridad operacional u OPSEC de BlackLock. Se trata en una versión renovada de otro grupo de ransomware llamado “Eldorado”. En lo que va de 2025, se ha convertido en uno de los sindicatos de extorsión más activos, enfocándose en tecnología, manufactura, construcción, finanzas y retail. Hasta el mes pasado, había listado 46 víctimas en su sitio.
Muchas de las organizaciones afectadas por los ciberdelincuentes se encuentran en diversos países y regiones, tales como Argentina, Aruba, Brasil, Canadá, Congo, Croacia, Perú, Francia, Italia, Países Bajos, España, Emiratos Árabes Unidos, Reino Unido y los Estados Unidos.
Este grupo, el cual anunció en enero de este 2025 una red afiliada clandestina ha reclutado traffers para dirigir a las víctimas a páginas maliciosas que despliegan malware, lo cual ha facilitado el acceso inicial a los sistemas comprometidos.
TIC Defense provee a tu empresa de un conjunto de servicios, soluciones y herramientas de última tecnología para prevenir ciberataques. Nos enfocamos en prevenir y dar respuesta rápida a cualquier evento malicioso para que la infraestructura informática corporativa no sufra daños.
La vulnerabilidad hallada por los especialistas en un Local File Inclusion o LFI, el cual engaña a un servidor web para filtrar información sensible, mediante un ataque de path traversal, incluyendo el historial de comandos ejecutados por los operadores en el DLS.
Ha empleado el Rclone para exfiltrar datos a MEGA, instalando incluso su cliente en sistemas víctimas. Además, los hackers maliciosos crearon al menos 8 cuentas de MEGA con correos desechables de YOPmail para almacenar datos robados.
La ingeniería inversa ha revelado similitudes en código fuente y notas de rescate con el ransomware DragonForce, el cual estaba dirigido a Arabia Saudita. Mientras DragonForce utiliza el lenguaje de programación C++, BlackLock emplea el lenguaje Go. Un operador principal de BlackLock, llamado “$$$”, lanzó en marzo un efímero proyecto llamado “Mamona”.
El DLS de BlackLock ha sido defaceado por DragonForce en este mismo mes de marzo, probablemente explotando la misma vulnerabilidad LFI, filtrando archivos de configuración y chats internos. Días antes, el DLS de Mamona también fue vandalizado.
Ante esto, los expertos señalaron que no está del todo claro si BlackLock comenzó a cooperar con DragonForce o si ha pasado silenciosamente a nuevas manos. Igualmente, es probable que estos tomaran el control por la consolidación del mercado de ransomware, al entender que sus predecesores estaban comprometidos.
