Компания Resecurity провела успешную операцию по компрометации инфраструктуры известной вымогательской группировки BlackLock. Специалистам удалось не только получить доступ к внутренним системам злоумышленников, но и предотвратить ряд атак, своевременно предупредив потенциальных жертв.
Масштаб деятельности BlackLock
По данным на февраль 2025 года, группировка успела атаковать как минимум 46 организаций в 14 странах мира. Среди пострадавших — компании из различных секторов экономики, включая оборонные предприятия, медицинские учреждения и государственные структуры. Эксперты предполагают, что реальное число жертв может быть значительно выше.
Технические детали компрометации
Специалистам Resecurity удалось обнаружить критическую уязвимость типа Local File Include (LFI) на сайте BlackLock в даркнете. Эксплуатация этой уязвимости позволила получить доступ к серверным конфигурациям и учетным данным операторов группировки. Особенно важным оказался доступ к истории команд главного оператора, известного под псевдонимом $$$, который допустил серьезную ошибку, используя повторяющиеся пароли для различных сервисов.
Методы работы преступников
В ходе расследования выяснилось, что BlackLock активно использовал файлообменник Mega для экфильтрации данных. Злоумышленники создали восемь отдельных email-аккаунтов для работы с Mega и утилитой rclone. Для маскировки своей деятельности они часто устанавливали клиент Mega непосредственно на компьютеры жертв.
Связи с другими группировками
Исследование показало тесную связь BlackLock с другими вымогательскими группами: El Dorado, Mamona и DragonForce. Анализ кода вредоносного ПО и списков жертв указывает на то, что эти группировки могут управляться одними и теми же лицами. Технические индикаторы и особенности коммуникации позволяют предположить, что операторы базируются в России или Китае.
В результате проведенной операции сайты BlackLock и Mamona были выведены из строя, а собранные данные переданы правоохранительным органам. Специалисты считают маловероятным возвращение этих группировок в прежнем виде, однако не исключают, что их операторы могут продолжить деятельность под новыми брендами. Этот случай демонстрирует важность международного сотрудничества в борьбе с киберпреступностью и необходимость постоянного совершенствования методов защиты от программ-вымогателей.
