Ошибка на TOR-сайте обернулась концом сразу для трёх группировок
ИБ-специалисты сорвали планы крупнейших киберпреступников.
Специалисты Resecurity нашли уязвимость на даркнет-сайте группировки BlackLock и взломали инфраструктуру злоумышленников. Действия аналитиков привели к фактическому краху группировки. Группа BlackLock (также известная как El Dorado) стремительно набирала силу на киберпреступной арене с весны 2024 года и к концу года уже входила в десятку самых активных вымогателей.
Уязвимость на сайте BlackLock оказалась критической — ошибка Local File Include позволила посторонним получить доступ к скрытым внутренним файлам сервера. С помощью ошибки исследователи получили данные о конфигурации, логах, SSH-доступе, истории команд и другим чувствительным элементам управления. Одним из ключевых открытий стали текстовые журналы, содержащие скопированные логины и пароли, включая те, что повторялись в нескольких аккаунтах группы.
Кроме конфигураций, удалось получить доступ к инфраструктуре хранения украденных данных. Оказалось, что вымогатели использовали 8 аккаунтов облачного сервиса MEGA, созданных через временные YOPmail-адреса. Для связи с жертвами применялся анонимный почтовый сервис Cyberfear.
Исследование позволило собрать подробные данные о жертвах и планируемых атаках. Подтверждено как минимум 46 случаев компрометации, включая организации из сферы здравоохранения, обороны, образования, IT, электроники и государственных учреждений. Но реальное число жертв может быть значительно выше.
В декабре 2024 года Resecurity начала активно отслеживать активность группировки, а в феврале 2025 года нашла контакт с одним из управляющих партнерской программы BlackLock. Благодаря этому удалось получить вредоносные образцы шифровальщиков для разных операционных систем, что позволило глубже изучить тактики и инструменты. Через 2 дня после участник группировки неожиданно начал обсуждать возможный «выход» из игры.
Развитие событий привело к настоящему краху. В марте 2025 года даркнет-сайты BlackLock и их партнёров из Mamona были дефейснуты другой вымогательской группой — DragonForce. Хакеры выложили в открытый доступ внутренние переписки, включая сообщения между участниками и жертвами, тем самым подорвав доверие к прежним операторам. По предположению аналитиков, такие действия могли быть как настоящей атакой конкурентов, так и ложным флагом — манипуляцией с целью отвлечения внимания.
Анализ старых образцов шифровальщика показал, что коды BlackLock и DragonForce почти идентичны. Это может говорить о передаче проекта новому владельцу или тесной интеграции между двумя группами. Возможно, DragonForce поглотила структуру BlackLock вместе с их партнёрами для усиления собственных позиций на теневом рынке.
На фоне масштабного провала, постоянных утечек, уязвимостей и вмешательства правоохранительных органов, Resecurity считает, что BlackLock уже не сможет восстановиться. Отток партнёров и утрата доверия развалили проект. В то же время DragonForce, похоже, усиливает своё влияние и вскоре может значительно активизировать свои вредоносные кампании.