Azienda di Cybersecurity Prende il Controllo delle Fughe di Informazioni della Gang di Ransomware

La compagnia di cybersecurity Resecurity ha condotto una audace operazione contro la cybercriminalità penetrando nel ransomware BlackLock, infiltrandosi nei suoi sistemi per raccogliere informazioni chiave, che poi hanno condiviso con le agenzie nazionali per aiutare le vittime.

ITPro ha precedentemente riferito che il ransomware BlackLock ha registrato un aumento del 1.425% nel 2024 perché ha utilizzato malware personalizzato e metodi di doppia estorsione. Il ransomware BlackLock mostra segni che controllerà gli attacchi di ransomware durante il 2025 secondo le previsioni degli esperti.

Resecurity ha scoperto la cattiva configurazione del sito di perdita di dati (DLS) basato su TOR di BlackLock durante il periodo delle vacanze del 2024. La falla di sicurezza ha rivelato a BlackLock gli indirizzi IP esatti dei server clearnet che ospitavano la loro infrastruttura.

Attraverso una vulnerabilità di Local File Include (LFI), Resecurity ha ottenuto l’accesso ai dati lato server che comprendevano file di configurazione e credenziali. L’azienda ha spiegato che Resecurity ha trascorso molte ore a eseguire attacchi di hash-cracking contro gli account degli attori della minaccia.

Gli attacchi di cracking degli hash descrivono il processo di tentativo di retroingegnerizzare o decodificare password o dati hashati. Il processo di hashing trasforma le password in chiaro in una stringa di caratteri di lunghezza specifica attraverso algoritmi di crittografia.

Lo scopo degli hash li rende impossibili da invertire, quindi gli aggressori non possono scoprire la password originale dalla sua forma hashata. Il team di Resecurity ha utilizzato metodi di cracking degli hash per ottenere accesso agli account di BlackLock, il che ha permesso loro di prendere il controllo della loro infrastruttura.

Le informazioni sulla cronologia dei comandi degli operatori di BlackLock sono state recuperate attraverso gli sforzi di raccolta dati guidati da Resecurity. L’incidente di sicurezza ha rivelato credenziali copiate che hanno esposto una grave debolezza operativa di sicurezza.

L’operatore di BlackLock “$$$” ha riutilizzato la stessa password in tutti i loro account gestiti, rivelando così ulteriori informazioni sulle operazioni del gruppo. Attraverso la sua ricerca, Resecurity ha scoperto che BlackLock si affidava al servizio di condivisione di file Mega per svolgere le sue attività di furto di dati.

Il gruppo criminale gestiva otto account email per accedere alla piattaforma Mega, dove utilizzavano sia l’applicazione client che l’utilità rclone per spostare i dati rubati dalle macchine delle vittime ai loro DLS tramite Mega.

L’organizzazione criminale a volte utilizzava il software client Mega per rubare dati dalle macchine delle vittime perché forniva un metodo di esfiltrazione meno rilevabile.

L’obiettivo era un fornitore di servizi legali francese classificato come importante. Attraverso il loro accesso alla rete, Resecurity ha acquisito conoscenza delle prossime operazioni di perdita di dati di BlackLock, cosa che ha permesso loro di avvisare CERT-FR e ANSSI prima che i dati diventassero pubblici con due giorni di anticipo, come riportato da The Register.

Attraverso la condivisione di informazioni con il Centro Canadese per la Sicurezza Cibernetica, Resecurity ha fornito a una vittima canadese un avvertimento sulla loro perdita di dati avvenuta 13 giorni in anticipo, come ha affermato The Register.

Grazie agli avvertimenti tempestivi di Resecurity riguardo agli attacchi, le vittime hanno avuto tempo sufficiente per sviluppare misure difensive adeguate. L’azienda ha sottolineato la necessità di misure attive per interrompere le operazioni criminali cyber a livello mondiale.

Le informazioni disponibili rivelano che BlackLock opera da forum russi e cinesi e segue regole per evitare di prendere di mira i paesi BRICS e CIS, utilizzando indirizzi IP provenienti da queste nazioni per i suoi account Mega.

Attraverso le sue azioni, Resecurity dimostra come le operazioni offensive di cybersecurity riescano a combattere con successo gli attacchi ransomware per proteggere le possibili vittime da eventuali danni.