Em um exemplo de hackear os hackers, caçadores de ameaças conseguiram infiltrar-se na infraestrutura online associada a um grupo de ransomware chamado BlackLock, descobrindo informações cruciais sobre seu modus operandi no processo.
A Resecurity disse que identificou uma vulnerabilidade de segurança no site de vazamento de dados (DLS) operado pelo grupo de e-crime que possibilitou extrair arquivos de configuração, credenciais, bem como o histórico de comandos executados no servidor.
A falha diz respeito a "uma certa má configuração no Data Leak Site (DLS) do Ransomware BlackLock, levando à divulgação de endereços IP claros relacionados à sua infraestrutura de rede por trás dos serviços ocultos TOR (hospedando-os) e informações adicionais do serviço", disse a empresa.
Ela descreveu o histórico de comandos adquiridos como uma das maiores falhas de segurança operacional (OPSEC) do ransomware BlackLock.
BlackLock é uma versão rebrand de outro grupo de ransomware conhecido como Eldorado.
Desde então, tornou-se um dos sindicatos de extorsão mais ativos em 2025, visando intensamente os setores de tecnologia, manufatura, construção, finanças e varejo.
No mês passado, listou 46 vítimas em seu site.
As organizações impactadas estão localizadas na Argentina, Aruba, Brasil, Canadá, Congo, Croácia, Peru, França, Itália, Países Baixos, Espanha, Emirados Árabes Unidos, Reino Unido e Estados Unidos.
O grupo, que anunciou o lançamento de uma rede afiliada underground em meados de janeiro de 2025, também foi observado recrutando ativamente traficantes para facilitar as primeiras etapas dos ataques, direcionando vítimas a páginas maliciosas que implantam malware capaz de estabelecer acesso inicial aos sistemas comprometidos.
A vulnerabilidade identificada pela Resecurity é um bug de inclusão de arquivo local (LFI), essencialmente enganando o servidor web a vazar informações sensíveis ao realizar um ataque de travessia de caminho, incluindo o histórico de comandos executados pelos operadores no site de vazamento.
Algumas das descobertas notáveis estão listadas abaixo:
- O uso de Rclone para exfiltrar dados para o serviço de armazenamento em nuvem MEGA, em alguns casos até instalando o cliente MEGA diretamente nos sistemas das vítimas;
- Os atores de ameaças criaram pelo menos oito contas no MEGA usando endereços de email descartáveis criados via YOPmail (ex.: "[email protected]") para armazenar os dados das vítimas;
- Uma engenharia reversa do ransomware revelou semelhanças no código-fonte e na nota de resgate com outra cepa de ransomware codinome DragonForce, que visou organizações na Arábia Saudita (enquanto DragonForce é escrito em Visual C++, BlackLock usa Go)
"$$$", um dos principais operadores do BlackLock, lançou um projeto de ransomware de curta duração chamado Mamona em 11 de março de 2025.
Em uma reviravolta intrigante, o DLS do BlackLock foi desfigurado pelo DragonForce em 20 de março – provavelmente explorando a mesma vulnerabilidade LFI (ou algo semelhante) – com arquivos de configuração e chats internos vazados em sua página de entrada.
Um dia antes, o DLS do ransomware Mamona também foi desfigurado.
"Não está claro se o Ransomware BlackLock (como grupo) começou a cooperar com o Ransomware DragonForce ou silenciosamente passou sob nova propriedade", disse a Resecurity.
Os novos mestres provavelmente assumiram o projeto e sua base afiliada devido à consolidação do mercado de ransomware, entendendo que seus sucessores anteriores poderiam estar comprometidos.
O ator chave '$$$' não expressou surpresa após os incidentes com o BlackLock e o Ransomware Mamona.
É possível que o ator estivesse plenamente ciente de que suas operações já poderiam estar comprometidas, então a saída silenciosa do projeto anterior poderia ser a opção mais racional."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...