1. Khám Phá Lỗi Bảo Mật:
Resecurity đã phát hiện một lỗ hổng Local File Include (LFI) trong Trang Rò Rỉ Dữ Liệu (DLS) của ransomware BlackLock, cho phép họ khai thác các cấu hình sai trong ứng dụng web được sử dụng bởi các tác nhân ransomware.
2. Tiết Lộ Hạ Tầng Mạng:
Lỗ hổng này đã dẫn đến việc công khai địa chỉ IP trong clearnet liên quan đến hạ tầng mạng phía sau các dịch vụ ẩn TOR và thêm thông tin dịch vụ thu được từ các cấu hình phía máy chủ.
3. Tác Động Đến Hoạt Động Của BlackLock:
Thông tin thu thập được đã hỗ trợ trong việc điều tra và ngăn chặn hoạt động tội phạm mạng của BlackLock. Điều này bao gồm việc xác định các tài khoản MEGA liên quan mà nhóm này sử dụng để quản lý dữ liệu bị đánh cắp và đồng bộ giữa DLS và các môi trường bị xâm phạm.
4. Phạm Vi Toàn Cầu và Các Mục Tiêu:
BlackLock đã nhắm mục tiêu vào các tổ chức thuộc nhiều lĩnh vực khác nhau, bao gồm điện tử, giáo dục, tổ chức tôn giáo, quốc phòng, chăm sóc sức khỏe, công nghệ, nhà cung cấp IT/MSP và các cơ quan chính phủ. Các tổ chức bị ảnh hưởng có trụ sở tại nhiều quốc gia, bao gồm Argentina, Aruba, Brazil, Canada, Congo, Croatia, Peru, Pháp, Ý, Tây Ban Nha, Hà Lan, Hoa Kỳ, Vương quốc Anh và UAE.
5. Tăng Trưởng Nhanh Chóng và Sự Chiếm Lĩnh:
BlackLock đã tăng tốc độ tấn công của mình và có thể trở thành nhóm RaaS thống trị nhất vào năm 2025. Nhóm này đã tăng số lượng bài rò rỉ dữ liệu lên đến 1.425% theo quý trong quý 4 năm ngoái.
6. Khả Năng Chuyển Giao Cho Các Chủ Nhân Mới:
Resecurity đã nhấn mạnh rằng có thể DragonForce sẽ tiếp quản cơ sở đối tác của BlackLock, và nhóm này sẽ thành công trong việc chuyển giao cho các chủ nhân mới.
Lần khám phá lỗ hổng này và sự tiết lộ tiếp theo về hạ tầng mạng của BlackLock nhấn mạnh tầm quan trọng của việc bảo mật ứng dụng web mạnh mẽ và giám sát liên tục trong cuộc chiến chống lại các mối đe dọa ransomware.
