Компанія Resecurity здійснила безпрецедентну операцію з компрометації інфраструктури відомого хакерського угруповання BlackLock, що спеціалізується на програмах-вимагачах. Фахівцям вдалося не лише отримати доступ до внутрішніх систем зловмисників, але й запобігти серії потенційних кібератак завдяки своєчасному попередженню цільових організацій.
Масштаби кіберзлочинної діяльності
Станом на лютий 2025 року угруповання BlackLock здійснило атаки на щонайменше 46 організацій у 14 країнах світу. Серед постраждалих – критично важливі об’єкти інфраструктури, включаючи оборонні підприємства, медичні заклади та державні установи. Аналітики припускають, що реальна кількість жертв може бути значно більшою через неповідомлені випадки атак.
Технічні аспекти проникнення
Експерти Resecurity виявили критичну вразливість типу Local File Include (LFI) на прихованому сервері BlackLock у даркнеті. Експлуатація цієї вразливості дозволила отримати доступ до серверних конфігурацій та облікових даних операторів угруповання. Ключовим моментом стало виявлення історії команд головного оператора, який використовував однакові паролі для різних сервісів.
Інфраструктура та методи атак
Розслідування показало, що BlackLock використовував файлообмінник Mega та утиліту rclone для ексфільтрації викрадених даних. Зловмисники створили розгалужену мережу з восьми окремих облікових записів електронної пошти для керування операціями. Для маскування своєї активності вони встановлювали клієнт Mega безпосередньо на системи жертв.
Зв’язки з іншими кіберзлочинними угрупованнями
Дослідження виявило тісну співпрацю BlackLock з угрупованнями El Dorado, Mamona та DragonForce. Аналіз шкідливого програмного забезпечення та списків цілей вказує на можливість координації дій цих груп одними операторами. Технічні індикатори та особливості комунікації свідчать про базування операторів у Росії або Китаї.
У результаті проведеної операції інфраструктура BlackLock та Mamona була нейтралізована, а зібрані докази передані правоохоронним органам. Хоча експерти вважають малоймовірним відновлення діяльності цих угруповань у попередньому форматі, існує ризик їх реорганізації під новими назвами. Цей випадок демонструє критичну важливість міжнародної співпраці у протидії кіберзлочинності та необхідність постійного вдосконалення систем захисту від програм-вимагачів.
