BlackLock-Ransomware: Sicherheitslücke führt zu Enthüllungen

MÜNCHEN (IT BOLTWISE) – In einem bemerkenswerten Fall von ‘Hacken der Hacker’ haben Sicherheitsforscher die Online-Infrastruktur der Ransomware-Gruppe BlackLock infiltriert und dabei entscheidende Informationen über deren Vorgehensweise aufgedeckt.

Die Sicherheitsforscher von Resecurity haben eine Schwachstelle in der Datenleak-Seite (DLS) der E-Crime-Gruppe BlackLock identifiziert, die es ihnen ermöglichte, Konfigurationsdateien, Zugangsdaten und die Historie der auf dem Server ausgeführten Befehle zu extrahieren. Diese Schwachstelle betrifft eine Fehlkonfiguration, die zur Offenlegung von Clearnet-IP-Adressen führte, die mit der Netzwerk-Infrastruktur hinter den TOR-Diensten verbunden sind.

BlackLock, eine umbenannte Version der Ransomware-Gruppe Eldorado, hat sich seitdem zu einem der aktivsten Erpressungssyndikate im Jahr 2025 entwickelt. Die Gruppe zielt stark auf die Technologie-, Fertigungs-, Bau-, Finanz- und Einzelhandelssektoren ab. Bis letzten Monat hatte sie 46 Opfer auf ihrer Website gelistet, darunter Organisationen in Argentinien, Aruba, Brasilien, Kanada, Kongo, Kroatien, Peru, Frankreich, Italien, den Niederlanden, Spanien, den Vereinigten Arabischen Emiraten, dem Vereinigten Königreich und den Vereinigten Staaten.

Die von Resecurity identifizierte Schwachstelle ist ein lokaler Datei-Inklusionsfehler (LFI), der den Webserver dazu verleitet, sensible Informationen preiszugeben, indem ein Path-Traversal-Angriff durchgeführt wird. Zu den bemerkenswerten Entdeckungen gehört die Verwendung von Rclone zur Datenexfiltration in den MEGA-Cloud-Speicherdienst, wobei in einigen Fällen der MEGA-Client direkt auf den Systemen der Opfer installiert wurde.

Interessanterweise wurde die DLS von BlackLock am 20. März von DragonForce defaced, wahrscheinlich durch Ausnutzung derselben LFI-Schwachstelle. Dabei wurden Konfigurationsdateien und interne Chats auf der Landingpage veröffentlicht. Einen Tag zuvor war auch die DLS der Mamona-Ransomware defaced worden. Es bleibt unklar, ob BlackLock Ransomware als Gruppe mit DragonForce kooperiert oder stillschweigend unter neuer Leitung steht.

Die Sicherheitsforscher vermuten, dass die neuen Betreiber das Projekt und die Affiliate-Basis übernommen haben könnten, da der Ransomware-Markt konsolidiert wird und die vorherigen Nachfolger möglicherweise kompromittiert wurden. Der Hauptakteur ‘$$$’ zeigte keine Überraschung nach den Vorfällen mit BlackLock und Mamona Ransomware, was darauf hindeutet, dass er möglicherweise wusste, dass seine Operationen bereits kompromittiert sein könnten.

Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

29,99 EUR

Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»

Mobvoi TicNote KI Digitales Diktiergerät, 64 GB Speicher, Notizrekorder mit Hülle, App-Steuerung, über 100 Sprachen, Transkribieren, Zusammenfassen mit AI Shadow,digitaler Audiorekorder Sprachrekorder

169,99 EUR

Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»

Plaud Note KI Digitales Diktiergerät mit Hülle - 64 GB Aufnahmegerät mit KI-Technologie zum Transkribieren und Zusammenfassen, One-Touch-Aufnahme, Rauschunterdrückung, Unterstützt 112 Sprachen

169,90 EUR

Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»

KI-Sprachrekorder, Plaud NotePin Sprachrekorder, App-Steuerung, KI-Notizgerät, KI-Transkription & Zusammenfassung, 112 Sprachen, 64GB Speicher, Audiorekorder für Vorlesungen, Meetings, Kosmisches Grau

169,90 EUR

Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»

SOXOI KI Digitales Diktiergerät, 64GB Magnet Mini Aufnahmegerä mit ChatGPT 4o vom Transkribieren und Zusammenfassen für 102 Sprachen,One Touch Aufnahme, Voice Recorder Sprachrecorder (Schwarz)

75,99 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!