黑客研究人员利用漏洞曝光 BlackLock 勒索软件团伙
HackerNews 编译,转载请注明出处: 网络安全研究人员成功入侵了一个名为 BlackLock 的勒索软件团伙的在线基础设施,揭露了该团伙的作案手法和关键信息。 Resecurity 表示,他们发现 BlackLock 犯罪团伙运营的数据泄露网站(DLS)存在一个安全漏洞,这使得研究人员能够提取配置文件、凭证以及服务器上执行的命令历史记录。 该公司称,该漏洞涉及 BlackLock 勒索软件的数据泄露网站(DLS)的 “某种配置错误”,导致与他们通过 Tor 隐藏服务(托管它们)的网络基础设施相关的明网 IP 地址被泄露,以及额外的服务信息。 研究人员将获取的命令历史记录描述为 BlackLock 勒索软件最大的操作安全(OPSEC)失误之一。 BlackLock 是另一个名为 Eldorado 的勒索软件团伙的改版。自 2025 年以来,它已成为最活跃的勒索团伙之一,主要针对科技、制造、建筑、金融和零售行业。截至上个月,该团伙已在网站上列出了 46 个受害者,这些受影响的组织位于阿根廷、阿鲁巴、巴西、加拿大、刚果(布)、克罗地亚、秘鲁、法国、意大利、荷兰、西班牙、阿联酋、英国和美国。 该团伙于 2025 年 1 月中旬宣布推出一个地下附属网络,并被观察到积极招募 “流量引导者”(traffers),以协助攻击的早期阶段,通过将受害者引导至部署恶意软件的恶意页面,这些恶意软件能够建立对受损系统的初始访问。 Resecurity 发现的漏洞是一个本地文件包含(LFI)漏洞,本质上是通过路径遍历攻击欺骗 Web 服务器泄露敏感信息,包括操作员在泄露网站上执行的命令历史记录。 一些值得注意的发现如下: – 使用 Rclone 将数据泄露到 MEGA 云存储服务中,在某些情况下甚至直接在受害者系统上安装 MEGA 客户端。 – 威胁行为者至少在 MEGA 上创建了八个账户,使用通过 YOPmail 创建的一次性电子邮件地址(例如,“zubinnecrouzo-6860@yopmail.com”)来存储受害者数据。 – 对勒索软件的逆向工程发现,其源代码和勒索信与另一种名为 DragonForce 的勒索软件存在相似之处,后者曾针对沙特阿拉伯的组织发动攻击(尽管 DragonForce 使用 Visual C++ 编写,而 BlackLock 使用 Go 语言)。 – BlackLock 的主要运营者之一 “$$$” 于 2025 年 3 月 11 日启动了一个名为 Mamona 的短期勒索软件项目。 在令人意外的转折中,BlackLock 的数据泄露网站于 2025 年 3 月 20 日被 DragonForce 篡改——很可能是通过利用相同的 LFI 漏洞(或类似漏洞)——其配置文件和内部聊天记录被泄露在网站首页上。就在前一天,Mamona 勒索软件的数据泄露网站也遭到了篡改。 Resecurity 表示:“目前尚不清楚 BlackLock 勒索软件(作为一个团伙)是否开始与 DragonForce 勒索软件合作,或者是否悄然转归新所有者旗下。新主人可能接管了该项目及其附属网络,因为勒索软件市场正在整合,他们意识到其前任可能会被攻破。” “BlackLock 和 Mamona 勒索软件事件发生后,关键人物‘$$$’并未表现出任何惊讶。该人物可能完全清楚自己的行动可能已经被攻破,因此悄然退出之前的项目可能是最合理的选择。” 消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文