Hakerzy zhakowani. W działaniach pomógł Polak

Pojawiające się w sieci informacje o cyberatakach najczęściej dotyczą operacji przeprowadzanych przez przestępców. Ich następstwem, oprócz paraliżu działania podmiotu-ofiary, jest w niektórych przypadkach wyciek danych. Na łamach CyberDefence24 opisywaliśmy takie przypadki.

Jedną z ostatnich ofiar był szpital w Hiszpanii. Dane jego pacjentów pojawiły się w sieci. Z kolei wywołanie zakłóceń miały na celu ataki na m.in. system sprzedaży biletów PKP Intercity czy rosyjski Lukoil.

Hakerzy ofiarami cyberataku

Celem operacji hakerskich mogą jednak stać się sami hakerzy. Jak podaje serwis Cybernews, taka historia spotkała BlackLock Ransomware, której działanie badali specjaliści z Resecurity. Okazało się, że strona istniejącej od marca 2024 roku grupy zawierała podatność Local File Include. Umożliwiło to odkrycie plików zgromadzonych na serwerze, w tym ukrytych i zawierających dane logowania czy konfigurację.

Udane przełamanie systemu DLS BlackLock pozwoliło na odkrycie skarbnicy wiedzy o modus operandi aktorów zagrożeń. Co jednak ważniejsze, umożliwiło to przewidywanie i zapobieganie niektórym z ich planowanych ataków oraz ochronę nieujawnionych ofiar poprzez ostrzeganie ich.
Resecurity

W efekcie, ekspertom cyberbezpieczeństwa udało się nie tylko przejąć kontrolę nad infrastrukturą BlackLock, ale też pozyskać szczegółową chronologię publikacji danych, dane logowania do ośmiu kont na hostingu MEGA służących do udostępniania wykradzionych plików, a nawet informację o wykorzystaniu tego samego hasła na kilku kontach.

Uprzedzono o publikacji plików

Uzyskanie dostępu do kont cyberprzestępców w chmurze umożliwiło Resecurity powiadomienie służb we Francji i Kanadzie, że podmioty z tych krajów zostały zaatakowane przez BlackLock, zaś ich dane za jakiś czas zostaną opublikowane. Grono ofiar było spore: doliczono się 46 organizacji m.in.  z Włoch, Holandii, Hiszpanii, Chorwacji, Brazylii, Argentyny, Stanów Zjednoczonych bądź Wielkiej Brytanii.

W tym miejscu sytuacja staje się jeszcze ciekawsza. Ekspertom udało się bowiem uzyskać w końcówce lutego ransomware BlackLock razem z notką o blokadzie. Analiza kodu wykazała znaczne podobieństwo wielu fragmentów do złośliwego oprogramowania należącego do DragonForce Ransomware. 

Można byłoby przypuszczać, że obie grupy nawiązaly współpracę – język w ransomware BLR to Go, zaś DFR to VC++ - jednak w tym samym czasie grupa zapowiedziała możliwe zakończenie projektu. Miesiąc później, strona BlackLock została zhakowana ponownie… tyle, że przez DragonForce, które zamieściło niektóre pliki z serwera grupy. Część z nich została zidentyfikowana przez Resecurity jako autentyczne. Nie wykluczono jednak, że atak mógł w rzeczywistości być „fałszywą flagą” mającą na celu odwrócenie uwagi publiki.

Jest polski wkład. Szanse na odbudowę zerowe

Pojawia się również polski akcent w całej sprawie. Dzień przed atakiem na BLR, członek CSIRT KNF Karol Paciorek ujawnił możliwe IP buildera oprogramowania ransomware Mamona, dostępnego w otwartej sieci i zarządzanego przez tego samego aktora zagrożeń co BlackLock. Niedługo później strona Mamony padła ofiarą podobnego ataku, co BlackLock.

Eksperci z Resecurity uznają za mało prawdopodobną możliwość odbudowy działalności przez BlackLock, zaś na całej sytuacji może skorzystać DragonForce. Pojawiają się jednak wątpliwości, czy operacja nie została przeprowadzona w celu zmiany tożsamości ugrupowania.

Zauważono również, że w postach dotyczących sprzedaży ransomware BlackLock zakazywano ataków z wykorzystaniem programu na podmioty w krajach członkowskich BRICS, w tym także Chin.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].