Empresa de Cibersegurança Sequestra Vazamentos de Gangue de Ransomware

A empresa de cibersegurança Resecurity conduziu uma audaciosa operação contra o cibercrime, penetrando no ransomware BlackLock, infiltrando-se em seus sistemas para coletar informações cruciais, que então compartilharam com agências nacionais para ajudar as vítimas.

ITPro já relatou anteriormente que o ransomware BlackLock experimentou um aumento de 1.425% durante 2024 devido ao uso de malware personalizado e métodos de extorsão dupla. O ransomware BlackLock mostra indicações de que controlará ataques de ransomware durante 2025, de acordo com previsões de especialistas.

A Resecurity descobriu a falha de configuração do Site de Vazamento de Dados (DLS) baseado em TOR da BlackLock durante o período de férias de 2024. A falha de segurança revelou à BlackLock os endereços IP exatos dos servidores clearnet que hospedavam sua infraestrutura.

Através de uma vulnerabilidade de Inclusão de Arquivo Local (LFI), a Resecurity obteve acesso aos dados do lado do servidor que incluíam arquivos de configuração e credenciais. A empresa explicou que a Resecurity passou muitas horas realizando ataques de quebra de hash contra as contas dos atores de ameaças.

Os ataques de quebra de hash descrevem o processo de tentar reverter ou decodificar senhas ou dados hash. O processo de hash transforma senhas em texto simples em uma string de caracteres de comprimento específico por meio de algoritmos de criptografia.

A finalidade dos hashes os torna impossíveis de reverter, de modo que os invasores não conseguem descobrir a senha original a partir de sua forma hash. A equipe da Resecurity empregou métodos de quebra de hash para obter acesso às contas da BlackLock, o que lhes permitiu assumir o controle de sua infraestrutura.

As informações do histórico de comandos dos operadores do BlackLock foram recuperadas através dos esforços de coleta de dados liderados pela Resecurity. O incidente de segurança revelou credenciais copiadas que expuseram uma grave falha de segurança operacional.

O operador do BlackLock “$$$” reutilizou a mesma senha em todas as suas contas gerenciadas, revelando mais informações sobre as operações do grupo. Através de sua pesquisa, a Resecurity descobriu que o BlackLock dependia do serviço de compartilhamento de arquivos Mega para realizar suas atividades de roubo de dados.

O grupo criminoso operava oito contas de email para acessar a plataforma Mega, onde usavam tanto o aplicativo cliente quanto a utilidade rclone para mover dados roubados das máquinas das vítimas para seus DLS através do Mega.

A organização criminosa às vezes usava o software cliente Mega para roubar dados das máquinas das vítimas, pois ele oferecia um método de exfiltração menos detectável.

O alvo era um provedor francês de serviços jurídicos classificado como importante. Através de seu acesso à rede, a Resecurity obteve conhecimento das futuras operações de vazamento de dados da BlackLock, o que permitiu que eles notificassem o CERT-FR e a ANSSI antes que os dados se tornassem públicos com dois dias de antecedência, conforme observado pelo The Register.

Através de seu compartilhamento de inteligência com o Centro Canadense de Segurança Cibernética, a Resecurity forneceu a um vítima canadense um aviso sobre seu vazamento de dados, que ocorreu 13 dias antes, disse The Register.

Por meio dos alertas precoces da Resecurity sobre os ataques, as vítimas ganharam tempo suficiente para desenvolver medidas defensivas apropriadas. A empresa enfatizou a necessidade de medidas ativas para interromper operações cibernéticas criminosas em todo o mundo.

As informações disponíveis revelam que a BlackLock opera a partir de fóruns russos e chineses e segue regras para evitar a mira em países do BRICS e da CIS, e usa endereços IP dessas nações para suas contas no Mega.

Através de suas ações, a Resecurity demonstra como as operações ofensivas de cibersegurança obtêm sucesso na luta contra ataques de ransomware para proteger possíveis vítimas de danos.