Infiltrerer ransomware-netværk

Hackergruppen BlackLock, der anses for at være en af de mest aktive ransomware-grupper i 2025, er blevet infiltreret af trusselsresearchere. Ifølge cybersikkerhedsfirmaet Resecurity lykkedes det researcherne at udnytte en sårbarhed i gruppens data leak site, hvilket har afsløret kritiske oplysninger om deres operationer og infrastruktur. Det skriver The Hacker News.

Sikkerhedshullet skyldtes en fejlagtig konfiguration af BlackLocks systemer, der utilsigtet afslørede netværksinfrastrukturens offentlige IP-adresser bag Tor-netværket samt følsomme konfigurationsfiler og kommandohistorik fra deres servere, fremgår det. Dette betragtes ikke uden grund som en af de største sikkerhedsfejl begået af gruppen.

BlackLocks metoder afsløret

BlackLock er en rebrandet version af ransomware-gruppen Eldorado og har hurtigt etableret sig som en betydelig trussel mod virksomheder inden for teknologi, produktion, finans og detailhandel. Indtil videre har gruppen offentliggjort oplysninger om 46 ofre fra hele verden, herunder Europa, Nordamerika og Sydamerika.

Den identificerede sårbarhed, en såkaldt Local File Inclusion (LFI)-fejl, gjorde det muligt for researcherne at få adgang til interne data. Blandt de mest opsigtsvækkende fund er:

• Anvendelsen af Rclone til at eksfiltrere data til MEGA cloud storage, hvor hackerne i visse tilfælde har installeret MEGA-klienten direkte på ofrenes systemer.
• Oprettelsen af mindst otte forskellige MEGA-konti med engangs-e-mailadresser for at skjule deres aktivitet.
• Kodeanalyse har afsløret ligheder mellem BlackLock og DragonForce ransomware, hvilket tyder på at der enten foregår et samarbejde eller der sker forsøg på at genbruge eksisterende ransomware-kode.
• En af BlackLocks hovedaktører, kendt som "$$$", lancerede en kortlivet ransomware-operation ved navn Mamona den 11. marts 2025.

Cyberkrig overalt 

Sagen tog en uventet drejning den 20. marts, hvor BlackLocks data leak site blev kompromitteret og defaced af en rivaliserende gruppe – hvilket vurderes til at være DragonForce. Dette skete muligvis ved at udnytte den samme LFI-sårbarhed, som Resecurity identificerede. Dagen før blev også Mamonas infrastruktur hacket og ødelagt.

Udviklingen har skabt spekulationer om, hvorvidt BlackLock har slået sig sammen med DragonForce, eller om gruppen er blevet overtaget af rivaler. Resecurity bemærker, at "$$$" ikke har reageret på kompromitteringen, hvilket kan tyde på, at han/hun/den allerede var klar over risikoen og valgte en strategisk exit.

En god nyhed

For den lovlydige del af verden er det naturligvis en god nyhed, at kriminelle går på rovdrift hos hinanden. Det er også godt, at også cyberkriminelle kan være offer for dårlige sikkerhedspraksisser eller cybersikkerhedshygiejne. Det kan så diskuteres, om det er godt, at vi omtaler hændelsen, for hændelser får altid opmærksomhed og tricker en tanke hos virksomheder i samme branche. Kan sådan noget også ske for os? Og hvilke foranstaltninger skal vi gennemføre? Altså en risikovurdering i samme boldgade, som vi andre laver risikovurderinger og beslutter os for risikohandlinger, når hændelser sker. 

Formentlig vil hændelsen hos BlackLock derfor betyde, at kriminelle kommer til at tage sig endnu mere i agt. 

Det skal vi andre også, for hændelsen betyder ikke, at vi kan læne os tilbage og håbe på, at kriminelle ender med at tage livet af hinandens forretninger. Vi skal fortsat beskytte kritiske systemer mod lignende sårbarheder og glæde os over, at trusselsaktørers metoder overvåges.