安全研究人员利用BlackLock勒索软件团伙暗网网站的漏洞，收集有关其计划攻击的信息。

　　2024年底，Resecurity的研究人员在BlackLock的数据泄露站点（DLS）中发现了一个漏洞，使其分析人员能够检查该威胁组织的网络基础设施，并识别特定的活动日志、托管服务提供商以及用于存储受害者数据的MEGA账户。

　　研究人员表示：“成功攻破BlackLock的DLS使我们得以揭示大量关于该威胁行为者及其作案手法（MO）的信息，更重要的是，我们成功预测并阻止了部分计划中的攻击，并通过警告未公开的受害者来保护他们。”

　　例如，今年早些时候，Resecurity联系了加拿大网络安全中心，分享了关于BlackLock计划泄露一名加拿大受害者数据的信息，比BlackLock正式公布该数据的时间早了13天。同样，Resecurity也向一名法国受害者发出了类似警报。

　　总体而言，Resecurity确定了46名受害者，涉及电子、学术机构、宗教组织、国防、医疗保健、科技、IT/托管服务提供商（MSP）和政府机构等多个行业。

　　受影响的组织遍布阿根廷、阿鲁巴、巴西、加拿大、刚果、克罗地亚、秘鲁、法国、意大利、西班牙、荷兰、美国、英国和阿联酋。Resecurity表示，BlackLock可能针对的受害者远多于目前已知的数量，其中许多受害者仍可能正面临数据被利用的风险。

　　研究人员之所以能入侵BlackLock，是因为该组织网站的配置错误，使他们得以访问与勒索软件团伙网络基础设施相关的明网IP地址。

　　通过利用“本地文件包含”（LFI）漏洞——即攻击者诱骗应用程序暴露服务器上存储的文件，研究人员成功获取了BlackLock的配置文件和凭据。

　　研究人员表示：“收集到的命令历史可能是BlackLock勒索软件最严重的一次操作安全（OPSEC）失败。收集到的证据包括管理服务器的关键人物复制粘贴的凭据，以及受害者数据发布的详细时间记录。”

　　Resecurity认为，他们对BlackLock造成的破坏足以确保其无法恢复，其在网络犯罪同伙中的声誉已被严重削弱。BlackLock曾利用文件共享服务MEGA来存储和传输窃取的数据，而Resecurity成功识别出与这些MEGA文件夹相关的八个不同电子邮件地址。

　　BlackLock是El Dorado勒索软件组织的一个新变种，同时，Resecurity还发现了BlackLock与竞争勒索软件组织DragonForce之间的联系。DragonForce似乎劫持了BlackLock的暗网网站。研究人员推测，这可能意味着两者之间存在某种合作关系，也可能是DragonForce直接接管了BlackLock的运营。

　　Resecurity表示：“看起来DragonForce想要羞辱BlackLock，并破坏其运营，以此清除竞争对手。另一方面，这种战术也可能是‘假旗行动’，以便顺利过渡到一个新项目。”

　　“目前尚不清楚BlackLock勒索软件是否开始与DragonForce合作，还是在悄无声息地过渡到新主导者的控制之下。由于勒索软件市场正在整合，新主导者可能已经接管了该项目及其附属成员，毕竟他们知道前任团队已经暴露。”