In einer bemerkenswerten Operation ist es dem Cybersicherheitsunternehmen Resecurity gelungen, die Infrastruktur der gefährlichen Ransomware-Gruppe BlackLock zu kompromittieren. Die erfolgreiche Infiltration führte nicht nur zur Aufdeckung der internen Systeme der Cyberkriminellen, sondern ermöglichte auch die Prävention mehrerer geplanter Angriffe durch rechtzeitige Warnungen an potenzielle Opfer.
Umfang und Auswirkungen der BlackLock-Aktivitäten
Die Analysen zeigen, dass BlackLock bis Februar 2025 mindestens 46 Organisationen in 14 Ländern erfolgreich angegriffen hat. Das Spektrum der Opfer erstreckt sich über verschiedene kritische Sektoren, darunter Verteidigungsunternehmen, Gesundheitseinrichtungen und Regierungsbehörden. Sicherheitsexperten gehen davon aus, dass die tatsächliche Anzahl der kompromittierten Organisationen deutlich höher liegen könnte.
Technische Details der Infiltration
Der Durchbruch gelang den Sicherheitsforschern durch die Entdeckung einer kritischen Local File Include (LFI)-Schwachstelle auf der Darknet-Präsenz von BlackLock. Diese Sicherheitslücke ermöglichte den Zugriff auf Server-Konfigurationen und Authentifizierungsdaten der Ransomware-Operatoren. Besonders aufschlussreich waren die Command-Historien des Hauptoperators mit dem Alias „$$$“, der durch die Wiederverwendung von Passwörtern eine fatale Sicherheitslücke schuf.
Infrastruktur und Methodologie der Angreifer
Die forensische Untersuchung offenbarte, dass BlackLock systematisch den Cloud-Speicherdienst Mega zur Datenexfiltration nutzte. Die Gruppe operierte mit acht separaten E-Mail-Konten für Mega und verwendete das Tool rclone für automatisierte Datentransfers. Um Erkennungssysteme zu umgehen, installierten die Angreifer den Mega-Client direkt auf kompromittierten Systemen der Opfer.
Verbindungen im Cybercrime-Ökosystem
Die Untersuchungen deckten signifikante Verbindungen zu anderen Ransomware-Gruppen auf, insbesondere zu El Dorado, Mamona und DragonForce. Die Analyse von Malware-Code und Opferlisten deutet darauf hin, dass diese Gruppierungen möglicherweise von denselben Akteuren gesteuert werden. Technische Indikatoren weisen auf Ursprünge in Russland oder China hin.
Als direktes Resultat der Operation wurden die Infrastrukturen von BlackLock und Mamona erfolgreich außer Betrieb gesetzt. Sämtliche gewonnenen Erkenntnisse wurden den zuständigen Strafverfolgungsbehörden übergeben. Während ein Comeback der Gruppen in ihrer bisherigen Form als unwahrscheinlich gilt, warnen Experten vor möglichen Neuformierungen unter anderen Namen. Dieser Fall unterstreicht die zentrale Bedeutung internationaler Kooperation im Kampf gegen Cyberkriminalität und die Notwendigkeit kontinuierlicher Verbesserungen der Ransomware-Abwehrstrategien.
