Hacker’ları hackleme örneğinde, tehdit avcıları Blacklock adlı bir fidye yazılımı grubuyla ilişkili çevrimiçi altyapıya sızmayı başardılar ve süreçte modus operandi hakkında önemli bilgileri ortaya çıkardılar.
Resculity, e-suç grubu tarafından çalıştırılan ve yapılandırma dosyalarını, kimlik bilgilerini ve sunucuda yürütülen komutların geçmişini çıkarmayı mümkün kılan Veri Sızıntısı Sitesinde (DLS) bir güvenlik açığı belirlediğini söyledi.
Kusur, “BlackLock fidye yazılımlarının veri sızıntı sitesinde (DLS) belirli bir yanlış yapılandırma ile ilgilidir ve ClearNet IP adreslerinin Tor Hidden Hizmetleri (barındırma) ve ek hizmet bilgilerinin arkasındaki ağ altyapısıyla ilgili açıklamalarına yol açar.” Dedi.
Edinilmiş komut geçmişini Blacklock fidye yazılımlarının en büyük operasyonel güvenlik (OPSEC) başarısızlıklarından biri olarak tanımladı.
Blacklock, Eldorado olarak bilinen başka bir fidye yazılımı grubunun yeniden markalı bir versiyonudur. O zamandan beri 2025’te teknoloji, üretim, inşaat, finans ve perakende sektörlerini yoğun bir şekilde hedefleyen en aktif gasp sendikalarından biri haline geldi. Geçen ay itibariyle, sitesinde 46 kurban listeledi.
Etkilenen örgütler Arjantin, Aruba, Brezilya, Kanada, Kongo, Hırvatistan, Peru, Fransa, İtalya, Hollanda, İspanya, Birleşik Arap Emirlikleri, İngiltere ve ABD’de bulunmaktadır.
Ocak ayı ortalarında bir yeraltı bağlı kuruluş ağının başlatıldığını duyuran grup, kurbanları tehlikeye atılan sistemlere başlangıç erişimini sağlayabilen kötü amaçlı yazılımlara yönlendirerek saldırıların erken aşamalarını kolaylaştırmak için kaçakları aktif olarak işe alıyor.
Rezekilikle tanımlanan güvenlik açığı, yerel bir dosya içerme (LFI) hatasıdır, esasen, sızıntı sitesindeki operatörler tarafından yürütülen komutların geçmişi de dahil olmak üzere bir yol geçiş saldırısı gerçekleştirerek hassas bilgileri sızdırmaz.
Dikkate değer bulgulardan bazıları aşağıda listelenmiştir –
- Mega Bulut Depolama Hizmetine verileri dışarı atmak için RCLone kullanımı, bazı durumlarda Mega İstemciyi doğrudan kurban sistemlerine yüklemek bile
- Tehdit aktörleri, kurban verilerini saklamak için Yopmail (örneğin, “zubinnecrouzo-6860@yopmail.com”) aracılığıyla oluşturulan tek kullanımlık e-posta adreslerini kullanarak Mega’da en az sekiz hesap oluşturdu.
- Fidye yazılımlarının ters mühendisliği, Suudi Arabistan’daki organizasyonları hedefleyen (Dragonforce C ++ ‘da yazılırken, Blacklock Go kullanır), kaynak kodunu ve fidye not benzerliklerini ortaya çıkardı.
- Blacklock’un ana operatörlerinden biri olan “$$$”, 11 Mart 2025’te Mamona adlı kısa ömürlü bir fidye yazılımı projesi başlattı
İlginç bir bükülmede, Blacklock’un DLS, 20 Mart’ta Dragonforce tarafından – muhtemelen aynı LFI güvenlik açığını (veya benzer bir şey) kullanarak – açılış sayfasında sızan yapılandırma dosyaları ve dahili sohbetlerle tahrif edildi. Bir gün önce, Mamona fidye yazılımının DLS’si de tahrif edildi.
Resecurity, “Blacklock fidye yazılımı (grup olarak) Dragonforce fidye yazılımı ile işbirliği yapmaya veya yeni mülkiyet altında sessizce geçip geçmediği belirsiz.” Dedi. Diyerek şöyle devam etti: “Yeni Üstatlar, fidye yazılımı pazar konsolidasyonu nedeniyle projeyi ve bağlı kuruluş tabanlarını devraldı, önceki haleflerinin anlaşılabileceğini anlamak tehlikeye atılabilir.”
“Kilit aktör ‘$$$’, Blacklock ve Mamona fidye yazılımı ile olaylardan sonra herhangi bir sürpriz paylaşmadı. Aktör, operasyonlarının zaten tehlikeye atılabileceğinin tamamen farkındaydı, bu yüzden önceki projeden sessiz ‘çıkış’ en rasyonel seçenek olabilir.”