BlackLock zsarolóvírus infrastruktúrája
A Resecurity jelentése szerint a BlackLock zsarolóvírus-csoport 2024 márciusa óta aktív. A csoport tevékenysége 2024 utolsó negyedévében jelentősen megnőtt, a kiszivárogtatott adatok száma 1 425%-os növekedést mutatott az előző negyedévhez képest.
A Resecurity elemzői felfedeztek egy sebezhetőséget a BlackLock adat-szivárogtató oldalán (DLS) a TOR hálózaton, amely lehetővé tette számukra, hogy jelentős mennyiségű információt gyűjtsenek a csoport tevékenységéről. Ez a sikeres behatolás feltárta a fenyegetés szereplőinek hálózati infrastruktúráját, bejelentkezési naplóit, az érintett internetszolgáltatókat és tárhelyszolgáltatókat, valamint a MEGA fájlmegosztó fiókokat, amelyeket az ellopott adatok tárolására használtak. Ezek az információk lehetővé tették a tervezett támadások előrejelzését és megelőzését, valamint a potenciális áldozatok figyelmeztetését.
Február 10-ig a Resecurity 46 áldozatot azonosított, köztük elektronikai cégeket, akadémiai intézményeket, vallási szervezeteket, védelmi, egészségügyi, technológiai vállalatokat, IT/MSP szolgáltatókat és kormányzati ügynökségeket. Az érintett szervezetek Argentínában, Arubán, Brazíliában, Kanadában, Kongóban, Horvátországban, Peruban, Franciaországban, Olaszországban, Spanyolországban, Hollandiában, az Egyesült Államokban, az Egyesült Királyságban és az Egyesült Arab Emírségekben találhatók.
A Resecurity megállapította, hogy a BlackLock mögött álló szereplő, $$$ álnevet használva, kapcsolatban állt más zsarolóvírus-projektekkel is, mint például az El Dorado és a Mamona Ransomware. Ez arra utal, hogy ugyanaz az operátor több projektet is irányított, sikeresen váltva egyikből a másikba. Például az El Dorado Ransomware sikeres támadást hajtott végre az ohiói New River Electrical ellen, majd később a Kansas State University Állatorvosi Karát és a floridai Pensacola városát is célba vette, amelyek később a BlackLock Ransomware DLS-en kerültek nyilvánosságra.
A Resecurity elemzői felfedeztek egy helyi fájl beillesztési (LFI) sebezhetőséget a BlackLock DLS-en, amely lehetővé tette érzékeny szerveroldali információk, például konfigurációs fájlok és hitelesítő adatok gyűjtését. Ez a felfedezés hozzájárult a csoport tevékenységének további vizsgálatához és megzavarásához.
Március 20-án a BlackLock DLS-t feltörték és a szerveroldali fájlokat nyilvánosságra hozták, ami jelentős csapást mért a csoport működésére. Ez az esemény valószínűleg hozzájárult ahhoz, hogy a csoport tevékenysége leálljon, és a kapcsolódó projektek, mint a Mamona Ransomware, szintén megszűntek.
Más fenyegetéselemzők a csoportot El Dorado vagy Eldorado néven követik nyomon.