En un importante avance contra el cibercrimen organizado, la empresa de ciberseguridad Resecurity ha logrado comprometer y desmantelar la infraestructura del grupo de ransomware BlackLock, previniendo m煤ltiples ataques y exponiendo una extensa red de operaciones criminales que abarca varios continentes.
Alcance Global de las Operaciones Criminales
La investigaci贸n ha revelado que BlackLock hab铆a perpetrado ataques contra 46 organizaciones en 14 pa铆ses hasta febrero de 2025. Las v铆ctimas incluyen sectores cr铆ticos como defensa, salud y administraci贸n p煤blica, aunque los expertos sugieren que el n煤mero real de afectados podr铆a ser significativamente mayor.
Metodolog铆a de la Infiltraci贸n y Vulnerabilidades Detectadas
Los investigadores de Resecurity identificaron una vulnerabilidad cr铆tica de tipo Local File Include (LFI) en el portal darknet de BlackLock. Esta brecha permiti贸 acceder a configuraciones de servidores y credenciales de operadores. Un error crucial en la seguridad operacional del l铆der del grupo, que utilizaba contrase帽as repetidas en m煤ltiples servicios, facilit贸 la infiltraci贸n completa en su infraestructura.
T茅cnicas de Exfiltraci贸n y Operativa Criminal
La investigaci贸n descubri贸 que el grupo utilizaba principalmente el servicio Mega para la exfiltraci贸n de datos, empleando ocho cuentas de correo diferentes y la herramienta rclone. Para evadir la detecci贸n, los atacantes instalaban el cliente Mega directamente en los sistemas comprometidos de sus v铆ctimas.
V铆nculos con Otras Organizaciones Criminales
El an谩lisis forense ha establecido conexiones directas entre BlackLock y otros grupos de ransomware: El Dorado, Mamona y DragonForce. Los patrones de c贸digo malicioso y las similitudes en los objetivos sugieren una gesti贸n centralizada, posiblemente desde Rusia o China, seg煤n los indicadores t茅cnicos analizados.
Esta operaci贸n representa un golpe significativo contra el ecosistema del ransomware, resultando en el cierre de las infraestructuras de BlackLock y Mamona. Aunque es improbable que estos grupos espec铆ficos resurjan, la comunidad de ciberseguridad debe mantener la vigilancia ante posibles rebrandes de sus operadores. Este caso subraya la importancia de la colaboraci贸n internacional en la lucha contra el cibercrimen y la necesidad de implementar medidas de seguridad robustas en todas las organizaciones.
