En un sorprendente giro dentro del mundo del cibercrimen, investigadores de seguridad lograron infiltrarse en la infraestructura en línea del grupo de ransomware BlackLock, obteniendo información crucial sobre su funcionamiento interno. Este hallazgo pone en evidencia fallas en la seguridad operativa (OPSEC) de los atacantes y brinda detalles sobre su estrategia de extorsión digital.
Infiltración en la infraestructura de BlackLock
Según Resecurity, el equipo de analistas identificó una vulnerabilidad crítica en el sitio de fuga de datos (DLS) de BlackLock. Este fallo permitió extraer archivos de configuración, credenciales de acceso y un historial completo de comandos ejecutados en el servidor.
La vulnerabilidad explotada es un error de inclusión de archivos locales (LFI), el cual posibilitó a los investigadores acceder a información interna mediante un ataque de cruce de rutas. Gracias a esta técnica, se revelaron direcciones IP en la red de clearnet asociadas con la infraestructura del ransomware, además de detalles sobre los servidores ocultos en la red TOR utilizados por el grupo.
Resecurity calificó la filtración del historial de comandos como uno de los mayores fallos de seguridad operativa de BlackLock, comprometiendo seriamente la confidencialidad del grupo y exponiendo sus tácticas a la comunidad de ciberseguridad.
BlackLock: Un grupo de ransomware en ascenso
BlackLock es una variante renombrada del ransomware Eldorado y, desde su reaparición, se ha convertido en uno de los sindicatos de extorsión más activos en 2025. Sus principales objetivos incluyen sectores clave como tecnología, manufactura, construcción, finanzas y comercio minorista. Hasta marzo de 2025, el grupo había listado 46 víctimas en su sitio web.
Las organizaciones afectadas están distribuidas en diversas regiones, incluyendo Argentina, Aruba, Brasil, Canadá, Congo, Croacia, Perú, Francia, Italia, Países Bajos, España, Emiratos Árabes Unidos, Reino Unido y Estados Unidos.
Métodos de ataque y reclutamiento de afiliados
En enero de 2025, BlackLock anunció el lanzamiento de una red de afiliados clandestina, mediante la cual ha reclutado activamente a «traffers». Estos actores maliciosos facilitan las primeras fases de los ataques al dirigir a las víctimas a páginas web maliciosas que instalan malware diseñado para obtener acceso inicial a los sistemas comprometidos.
Hallazgos clave tras la infiltración
La investigación reveló varios aspectos significativos sobre las operaciones de BlackLock:
- Uso de Rclone y MEGA: BlackLock emplea Rclone para extraer datos hacia la plataforma de almacenamiento en la nube MEGA. En algunos casos, los atacantes instalan directamente el cliente MEGA en los sistemas comprometidos para facilitar la transferencia de archivos.
- Cuentas desechables en MEGA: Se han identificado al menos ocho cuentas creadas en MEGA utilizando direcciones de correo electrónico temporales de YOPmail, como «[email protected]«.
- Conexión con DragonForce: Un análisis del código fuente y de la nota de rescate de BlackLock reveló similitudes con el ransomware DragonForce. Mientras que DragonForce está escrito en Visual C++, BlackLock utiliza Go, pero ambas variantes comparten múltiples características.
- «$$$», el operador clave de BlackLock: Este actor lanzó un proyecto de ransomware efímero el 11 de marzo de 2025, lo que podría indicar una diversificación de actividades o un intento de encubrir sus operaciones.
BlackLock bajo ataque: Desfiguración y filtración de datos
En un giro inesperado, el 20 de marzo de 2025, el propio sitio de fuga de BlackLock fue desfigurado por DragonForce, aparentemente explotando la misma vulnerabilidad de LFI. Durante esta intrusión, los atacantes filtraron archivos de configuración y conversaciones internas en la página de inicio del sitio de BlackLock.
Un día antes, otra desfiguración había afectado al DLS del grupo, lo que sugiere que BlackLock podría haber sido blanco de ataques por parte de otros grupos de ransomware o incluso haber sido tomado por nuevos operadores.
¿BlackLock se fusionó con DragonForce?
Los expertos de Resecurity especulan que BlackLock podría haber sido absorbido por DragonForce o estar operando bajo una nueva administración.
«No está claro si BlackLock Ransomware (como grupo) comenzó a cooperar con DragonForce Ransomware o hizo una transición silenciosa bajo la nueva propiedad», señaló Resecurity. «Es probable que nuevos actores hayan tomado el control del proyecto y de su base de afiliados debido a la consolidación del mercado del ransomware, entendiendo que sus predecesores podrían haber sido comprometidos».
Además, el operador clave de BlackLock, conocido como «$$$», no ha mostrado señales de sorpresa tras los incidentes recientes, lo que sugiere que ya estaba al tanto de la posible vulnerabilidad en la infraestructura del grupo. Esto refuerza la teoría de que su «salida» del proyecto podría haber sido una decisión estratégica para evitar ser comprometido.
En conclusión, el hackeo a BlackLock representa un evento significativo en la lucha contra el ransomware, evidenciando que incluso los ciberdelincuentes pueden ser víctimas de sus propias fallas de seguridad. La exposición de su infraestructura y métodos de ataque proporciona información valiosa para investigadores y empresas que buscan protegerse de estas amenazas.
Ante la creciente sofisticación de los ataques, es fundamental que las organizaciones refuercen sus medidas de seguridad, implementando monitoreo constante, auditorías de infraestructura y estrategias proactivas para detectar posibles vulnerabilidades antes de que sean explotadas por actores maliciosos.
La historia de BlackLock es un recordatorio de que, en el mundo del cibercrimen, la seguridad operativa es clave. Aquellos que no la priorizan terminan siendo víctimas de su propia negligencia.
Fuente: The Hacker News
