Компания по кибербезопасности перехватывает утечки данных банды, занимающейся вымогательством через вирусы-вымогатели

Компания по кибербезопасности Resecurity провела смелую операцию против киберпреступности, проникнув в рансомвэр BlackLock, внедрившись в его системы для сбора ключевой разведки, которую затем поделились с национальными агентствами, чтобы помочь жертвам.

ITPro ранее сообщал, что вирус-вымогатель BlackLock зафиксировал взрывной рост на 1425% в 2024 году, так как использовал собственное вредоносное ПО и методы двойного шантажа. Есть признаки, что вирус-вымогатель BlackLock будет контролировать атаки вымогателей в 2025 году, согласно прогнозам экспертов.

Resecurity обнаружила неправильную настройку сайта утечки данных (DLS) BlackLock, работающего на основе TOR, во время праздничного периода 2024 года. Этот недостаток в безопасности позволил BlackLock узнать точные IP-адреса серверов clearnet, на которых размещалась их инфраструктура.

С помощью уязвимости Local File Include (LFI) Resecurity получила доступ к данным на стороне сервера, которые включали файлы конфигурации и учетные данные. Компания объяснила, что Resecurity провела много часов, выполняя атаки на взлом хешей против аккаунтов угрозовых актеров.

Атаки на взлом хэшей описывают процесс попытки обратного проектирования или декодирования хэшированных паролей или данных. Процесс хеширования преобразует пароли в открытом тексте в строку символов определенной длины с помощью алгоритмов шифрования.

Цель хэшей делает их невозможными для обратного преобразования, поэтому злоумышленникам сложно узнать исходный пароль из его хэшированной формы. Команда Resecurity использовала методы взлома хэшей для получения доступа к аккаунтам BlackLock, что позволило им захватить контроль над их инфраструктурой.

Информация об истории команд операторов BlackLock была получена благодаря усилиям по сбору данных, проводимым компанией Resecurity. Инцидент с безопасностью выявил скопированные учетные данные, которые обнаружили критическую уязвимость в работе с операционной безопасностью.

Оператор BlackLock «$$$» использовал один и тот же пароль во всех управляемых им аккаунтах, что позволило получить больше информации о деятельности группы. В ходе исследования Resecurity обнаружила, что BlackLock полагается на обмен файлами через сервис Mega для осуществления своих действий по краже данных.

Криминальная группировка управляла восемью электронными почтовыми ящиками для доступа к платформе Mega, где они использовали как клиентское приложение, так и утилиту rclone для перемещения украденных данных с компьютеров жертв на их DLS через Mega.

Криминальная организация иногда использовала клиентское программное обеспечение Mega для кражи данных с машин жертв, потому что это предоставляло менее обнаружимый метод эксфильтрации.

Целью был французский провайдер юридических услуг, классифицированный как крупный. Благодаря доступу к их сети, Resecurity получила информацию о предстоящих операциях по утечке данных BlackLock, что позволило им уведомить CERT-FR и ANSSI за два дня до того, как данные стали публичными, как отметил The Register.

С помощью обмена информацией с Канадским центром кибербезопасности, Resecurity предупредила канадскую жертву об их утечке данных за 13 дней до происшествия, сообщает The Register.

Благодаря ранним предупреждениям Resecurity о нападениях, жертвы получили достаточно времени для разработки соответствующих защитных мер. Компания подчеркнула необходимость активных действий для прерывания мировых киберпреступных операций.

Доступная информация показывает, что BlackLock работает на русских и китайских форумах и следует правилам, чтобы избежать атак на страны БРИКС и СНГ, а также использует IP-адреса из этих наций для своих аккаунтов на Mega.

Своими действиями Resecurity демонстрирует, как агрессивные операции в области кибербезопасности помогают успешно бороться с атаками рансомваре, защищая потенциальных жертв от вреда.