La Empresa de Ciberseguridad Secuestra las Filtraciones de la Banda de Ransomware

La empresa de ciberseguridad Resecurity llevó a cabo una audaz operación contra el cibercrimen al penetrar en el ransomware BlackLock, infiltrándose en sus sistemas para recopilar información clave, la cual luego compartieron con agencias nacionales para ayudar a las víctimas.

ITPro informó previamente que el ransomware BlackLock experimentó un aumento del 1,425% durante el 2024 porque empleó malware personalizado y métodos de doble extorsión. El ransomware BlackLock muestra indicios de que controlará los ataques de ransomware durante el 2025 según las predicciones de los expertos.

Resecurity descubrió una mala configuración en el sitio de filtración de datos (DLS) basado en TOR de BlackLock durante el período de vacaciones de 2024. La falla de seguridad reveló a BlackLock las direcciones IP exactas de los servidores de red abierta que alojaban su infraestructura.

A través de una vulnerabilidad de Inclusión de Archivo Local (LFI) Resecurity obtuvo acceso a los datos del lado del servidor que incluían archivos de configuración y credenciales. La empresa explicó que Resecurity pasó muchas horas realizando ataques de descifrado de hash contra las cuentas de los actores de amenazas.

Los ataques de descifrado de hashes describen el proceso de intentar revertir o decodificar contraseñas o datos hasheados. El proceso de hash transforma las contraseñas de texto plano en una cadena de caracteres de longitud específica a través de algoritmos de cifrado.

El propósito de los hashes los hace imposibles de revertir, por lo que los atacantes no pueden descubrir la contraseña original a partir de su forma hasheada. El equipo de Resecurity empleó métodos de descifrado de hashes para obtener acceso a las cuentas de BlackLock, lo que les permitió tomar control de su infraestructura.

La información del historial de comandos de los operadores de BlackLock fue obtenida a través de los esfuerzos de recolección de datos liderados por Resecurity. El incidente de seguridad reveló credenciales copiadas que expusieron una debilidad crítica de seguridad operacional.

El operador de BlackLock “$$$” reutilizó la misma contraseña en todas sus cuentas administradas, revelando así más información sobre las operaciones del grupo. A través de su investigación, Resecurity descubrió que BlackLock dependía del servicio de compartición de archivos Mega para llevar a cabo sus actividades de robo de datos.

El grupo criminal operaba ocho cuentas de correo electrónico para acceder a la plataforma Mega, donde utilizaban tanto la aplicación cliente como la utilidad rclone para trasladar los datos robados de las máquinas de las víctimas a su DLS a través de Mega.

En ocasiones, la organización criminal utilizaba el software cliente de Mega para robar datos de las máquinas de las víctimas, ya que proporcionaba un método de exfiltración menos detectable.

El objetivo era un proveedor de servicios legales francés clasificado como importante. A través de su acceso a la red, Resecurity obtuvo conocimiento sobre las próximas operaciones de filtración de datos de BlackLock, lo que les permitió notificar a CERT-FR y ANSSI antes de que los datos se hicieran públicos con dos días de anticipación, según lo señalado por The Register.

A través de su intercambio de inteligencia con el Centro Canadiense de Ciberseguridad, Resecurity proporcionó a una víctima canadiense una advertencia sobre su filtración de datos que ocurrió 13 días antes, dijo The Register.

A través de las alertas tempranas de Resecurity sobre los ataques, las víctimas obtuvieron suficiente tiempo para desarrollar medidas defensivas adecuadas. La empresa enfatizó la necesidad de medidas activas para interrumpir las operaciones cibernéticas criminales a nivel mundial.

La información disponible revela que BlackLock opera desde foros rusos y chinos y sigue reglas para evitar el ataque a los países BRICS y CIS, y utiliza direcciones IP de estas naciones para sus cuentas Mega.

A través de sus acciones, Resecurity demuestra cómo las operaciones ofensivas de ciberseguridad logran tener éxito en la lucha contra los ataques de ransomware para proteger a posibles víctimas de cualquier daño.