هکرها، هکرها را هک کردند!

محققان امنیتی با کشف یک آسیب پذیری در سایت افشای اطلاعات گروه باج افزاری بلک لاک، به اطلاعات حساس و روش های عملیاتی این گروه دسترسی پیدا کردند. آیا این پایان کار بلک لاک است یا شروعی دوباره با چهره ای جدید؟

به گزارش زوم تک از رسکیوریتی، محققان امنیتی با بهره برداری از یک آسیب پذیری در سایت افشای اطلاعات گروه باج افزاری بلک لاک، موفق به نفوذ به زیرساخت های آنلاین این گروه شدند و اطلاعات حیاتی در مورد نحوه عملکرد آن ها را کشف کردند. این نفوذ، جزئیات مهمی از جمله فایل های پیکربندی، اعتبارنامه ها و تاریخچه دستورات اجرا شده بر روی سرور را آشکار کرد.

آسیب پذیری در سایت افشای اطلاعات بلک لاک

رسکیوریتی اعلام کرد که یک آسیب پذیری امنیتی در سایت افشای اطلاعات (DLS) گروه جرایم سایبری بلک لاک شناسایی کرده است که امکان استخراج آدرس های IP شبکه این گروه در اینترنت پاک، که در پشت خدمات مخفی TOR میزبانی می شوند، و همچنین اطلاعات خدمات اضافی را فراهم می کند. این شرکت، تاریخچه دستورات به دست آمده را یکی از بزرگترین شکست های امنیتی عملیاتی (OPSEC) گروه باج افزاری بلک لاک توصیف کرد.

بلک لاک، نسخه تغییر نام یافته الدورادو

بلک لاک، نسخه تغییر نام یافته گروه باج افزاری دیگری به نام الدورادو است. این گروه از ابتدای سال 2025 به یکی از فعال ترین سندیکاهای اخاذی تبدیل شده و به شدت بخش های فناوری، تولید، ساخت و ساز، مالی و خرده فروشی را هدف قرار داده است. تا ماه گذشته، این گروه 46 قربانی را در سایت خود فهرست کرده بود. سازمان های آسیب دیده در آرژانتین، آروبا، برزیل، کانادا، کنگو، کرواسی، پرو، فرانسه، ایتالیا، هلند، اسپانیا، امارات متحده عربی، بریتانیا و ایالات متحده واقع شده اند.

استخدام ترافیکرها و استفاده از مگا برای سرقت اطلاعات

این گروه، که در اواسط ژانویه 2025 از راه اندازی یک شبکه وابسته زیرزمینی خبر داد، همچنین به طور فعال در حال استخدام ترافیکرها برای تسهیل مراحل اولیه حملات با هدایت قربانیان به صفحات مخرب است که بدافزارهایی را مستقر می کنند که قادر به ایجاد دسترسی اولیه به سیستم های آلوده هستند. آسیب پذیری شناسایی شده توسط رسکیوریتی، یک باگ درج فایل محلی (LFI) است که اساساً سرور وب را با انجام یک حمله پیمایش مسیر، از جمله تاریخچه دستورات اجرا شده توسط اپراتورها در سایت افشا، فریب می دهد تا اطلاعات حساس را نشت دهد. برخی از یافته های قابل توجه به شرح زیر است:

• استفاده از Rclone برای استخراج داده ها به سرویس ذخیره سازی ابری MEGA، در برخی موارد حتی نصب مستقیم کلاینت MEGA بر روی سیستم های قربانی.
• ایجاد حداقل هشت حساب کاربری در MEGA با استفاده از آدرس های ایمیل یکبار مصرف ایجاد شده از طریق YOPmail (به عنوان مثال، “[email protected]”) برای ذخیره داده های قربانی.
• مهندسی معکوس باج افزار، شباهت های کد منبع و یادداشت باج با سویه باج افزار دیگری به نام DragonForce را نشان داد که سازمان هایی را در عربستان سعودی هدف قرار داده است (در حالی که DragonForce به زبان ویژوال ++C نوشته شده است، بلک لاک از Go استفاده می کند).
• “$$$”، یکی از اپراتورهای اصلی بلک لاک، یک پروژه باج افزاری کوتاه مدت به نام مامونا را در 11 مارس 2025 راه اندازی کرد.

جنگ میان باج افزارها

در یک پیچ و تاب جالب، سایت افشای اطلاعات بلک لاک در 20 مارس توسط DragonForce تخریب شد، احتمالاً با بهره برداری از همان آسیب پذیری LFI (یا چیزی مشابه)، و فایل های پیکربندی و چت های داخلی در صفحه فرود آن نشت کرد. یک روز قبل، سایت افشای اطلاعات باج افزار مامونا نیز تخریب شد. رسکیوریتی اعلام کرد: “مشخص نیست که آیا بلک لاک (به عنوان یک گروه) همکاری با DragonForce را آغاز کرده است یا بی سر و صدا تحت مالکیت جدید منتقل شده است. مالکان جدید احتمالاً پروژه و پایگاه وابسته خود را به دلیل ادغام بازار باج افزار، با درک اینکه جانشینان قبلی آنها می توانند در معرض خطر قرار گیرند، تصاحب کرده اند. بازیگر کلیدی ‘$$$’ پس از حوادث مربوط به بلک لاک و باج افزار مامونا، هیچ تعجبی نشان نداد. ممکن است این بازیگر کاملاً آگاه باشد که عملیات او قبلاً در معرض خطر قرار گرفته است، بنابراین ‘خروج’ بی سر و صدا از پروژه قبلی می تواند منطقی ترین گزینه باشد.”