Firma zajmująca się cyberbezpieczeństwem przejmuje kontrolę nad wyciekami informacji gangu ransomware

Firma zajmująca się cyberbezpieczeństwem, Resecurity, przeprowadziła śmiałą operację przeciwko cyberprzestępczości, infiltrując ransomware BlackLock i przenikając do jego systemów, aby zebrać kluczowe informacje wywiadowcze, które następnie podzieliły się z krajowymi agencjami, aby pomóc ofiarom.

ITPro wcześniej informowało, że ransomware BlackLock odnotowało 1,425% wzrost w 2024 roku, ponieważ stosowało niestandardowe oprogramowanie złośliwe oraz metody podwójnego wymuszenia. Ransomware BlackLock pokazuje oznaki, że będzie kontrolować ataki ransomware w 2025 roku zgodnie z przewidywaniami ekspertów.

Resecurity odkryło błąd konfiguracyjny strony z przeciekami danych (DLS) opartej na TORze BlackLock podczas świątecznego okresu 2024 roku. Usterka bezpieczeństwa ujawniła BlackLock dokładne adresy IP serwerów clearnet, które obsługiwały ich infrastrukturę.

Dzięki podatności na lokalne dołączanie plików (LFI), Resecurity uzyskało dostęp do danych po stronie serwera, które obejmowały pliki konfiguracyjne i dane uwierzytelniające. Firma wyjaśniła, że Resecurity spędziło wiele godzin na przeprowadzaniu ataków łamiących hasła na konta cyberprzestępców.

Ataki typu hash-cracking opisują proces próby odwrotnej inżynierii lub dekodowania haszowanych haseł lub danych. Proces haszowania przekształca hasła w postaci tekstu jawnej w ciąg znaków o określonej długości za pomocą algorytmów szyfrowania.

Cel haszów sprawia, że są one niemożliwe do odwrócenia, co uniemożliwia atakującym odkrycie oryginalnego hasła z jego haszowanej formy. Zespół Resecurity zastosował metody hash-cracking, aby uzyskać dostęp do kont BlackLock, co pozwoliło im przejąć kontrolę nad ich infrastrukturą.

Informacje o historii poleceń operatorów BlackLock zostały uzyskane dzięki wysiłkom związanym z gromadzeniem danych prowadzonym przez Resecurity. Incydent związany z bezpieczeństwem ujawnił skopiowane dane uwierzytelniające, które wykazały krytyczną słabość operacyjnego bezpieczeństwa.

Operator BlackLock „$$$” używał tego samego hasła we wszystkich swoich zarządzanych kontach, ujawniając więcej informacji o operacjach grupy. W wyniku swoich badań Resecurity odkryło, że BlackLock polegał na usłudze udostępniania plików Mega do prowadzenia swoich działań związanych z kradzieżą danych.

Grupa przestępcza obsługiwała osiem kont e-mailowych, aby uzyskać dostęp do platformy Mega, gdzie używali zarówno aplikacji klienta, jak i narzędzia rclone do przenoszenia skradzionych danych z maszyn ofiar na swoje DLS za pośrednictwem Mega.

Organizacja przestępcza czasami korzystała z oprogramowania klienta Mega do kradzieży danych z maszyn ofiar, ponieważ zapewniało to mniej wykrywalną metodę eksfiltracji.

Celem był francuski dostawca usług prawnych, klasyfikowany jako duży. Dzięki dostępowi do swojej sieci, Resecurity zdobyło informacje o nadchodzących operacjach wycieku danych BlackLock, co pozwoliło im powiadomić CERT-FR i ANSSI na dwa dni przed tym, jak dane stały się publiczne, jak zauważył The Register.

Dzięki wymianie informacji z Canadian Centre for Cyber Security, Resecurity dostarczyło kanadyjskiej ofierze ostrzeżenie o wycieku ich danych, które miało miejsce 13 dni wcześniej – poinformował The Register.

Dzięki wczesnym ostrzeżeniom Resecurity o atakach, ofiary zdobyły wystarczająco dużo czasu, aby opracować odpowiednie środki obronne. Firma podkreśliła konieczność aktywnych działań w celu zakłócenia światowych przestępczych operacji cybernetycznych.

Dostępne informacje ujawniają, że BlackLock działa z rosyjskich i chińskich forów i przestrzega zasad, aby unikać ataków na kraje BRICS i WNP, a także korzysta z adresów IP z tych krajów dla swoich kont Mega.

Poprzez swoje działania, Resecurity pokazuje, jak ofensywne operacje cyberbezpieczeństwa odnoszą sukces w walce z atakami ransomware, aby ochronić potencjalne ofiary przed szkodami.