Die Ransomware-Gruppe BlackLock steht seit geraumer Zeit im Mittelpunkt der Aufmerksamkeit. Jetzt sind ihre eigenen internen Daten ans Licht gekommen. Sicherheitsforscher nutzen eine Schwachstelle auf ihrer TOR-basierten Datenleck-S.. Die aus diesen Informationen gewonnenen Erkenntnisse überreichen einen tiefen Einblick in die internen Abläufe der Cyberkriminellen.
Der Aufstieg von BlackLock: Eine wachsende Bedrohung
BlackLock hat sich seit seinem ersten Auftreten im März 2024 rapide entwickelt. Sie werden ebenfalls El Dorado oder Eldorado genannt. Im letzten Quartal 2024 stiegen die Aktivitäten der Gruppe um 1․425 %. Heute belegt BlackLock den siebten Platz unter den aktivsten Ransomware-Gruppen weltweit. Der Angriffsfokus richtet sich primär auf Unternehmen aus den Bereichen Technologie, Fertigung, Bauwesen, Finanzen, Einzelhandel und kritische Infrastrukturen. Im vergangenen Monat verzeichnete die Gruppe 46 Opfer.
Individuelle Ransomware-Entwicklung
Im Gegensatz zu vielen anderen Gruppen wendet BlackLock kein Baukastensystem an. Sie ausarbeiten ihre eigene Schadsoftware. Die Angriffsziele sind Windows-, Linux- und VMware ESXi-Systeme. Besonders die Windows-Version der Ransomware bietet zahlreiche Funktionen die auf Datenverschlüsselung und -exfiltration abzielen. Die Linux-Variante ist weniger umfassend. Diese Eigenständigkeit gibt Sicherheitsforschern große Mühe. Analysen und Gegenmaßnahmen fallen dadurch schwerer.
Die ausgeklügelte Leak-Seite von BlackLock
Ein spezielles Merkmal von BlackLock ist die durchdachte Leak-Plattform. Auf dieser wird gestohlene Daten in einem schrittweisen Prozess veröffentlicht. Die Funktionen der Seite erschweren eine akkurat Analyse beträchtlich. Das Ziel dieser Taktik ist es, den Druck auf die Opfer zu maximieren – eine in kurzer Zeite Zahlung vor den kompletten Umfang der Kompromittierung.
Rekrutierung von Helfern im Untergrund
BlackLock operiert nicht alleine. In typischen russischsprachigen Cybercrime-Foren sucht die Gruppe aktiv nach sogenannten „Traffers“. Diese beschaffen Zugang zu kompromittierten Systemen. Gleichzeitig sucht BlackLock nach talentierten Entwicklern und Malware-Experten. Die geheime Rekrutierung zeigt eine langfristige Strategie.
Die LFI-Schwachstelle als neuer Wendepunkt
Ironischerweise wurde BlackLock Anfang 2024 selbst Opfer eines groben Sicherheitsfehlers. Sicherheitsforscher von Resecurity identifizierten eine Local File Inclusion (LFI)-Schwachstelle. Diese Lücke erlaubte es, Konfigurationsdateien, Logs und Kommandozeilen-Historien abzurufen. Die gesammelten Informationen lieferten wertvolle Einblicke in die interne Struktur der Gruppe und deren Werkzeuge.
Offenbarungen über interne Angriffe und Kontakte
Resecurity hat durch die Sicherheitslücke auch acht MEGA-Konten aufgedeckt die von BlackLock zur Verwaltung gestohlener Daten genutzt wurden. Die Informationen ermöglichten eine Vorhersage und Verhinderung geplanter Angriffe. Zusätzliche Daten offenbarten außerdem kopierte Zugangsdaten eines zentralen Akteurs der sich „$$$“ nannte.
Ein Sicherheitsforscher von Resecurity berichtete von Kontakten über Tox Chat mit dem Akteur „$$$“. Dabei trat er als Cyberkrimineller auf. Die Kommunikation fand vollständig in Russisch statt. Am 28. Februar 2025 äußerte sich „$$$“ im Ramp-Forum über mögliche Ausstiegsszenarien.
Kommentare
Die Fehler der Cyberkriminellen
Die Enthüllung der LFI-Schwachstelle zeigt, dass Cyberkriminelle nicht unfehlbar sind. Ransomware-Gruppen wie BlackLock sind jedoch darüber hinaus eine große Bedrohung. Ihre Flexibilität und komplexen Taktiken stellen für Unternehmen eine erhebliche Herausforderung dar. Ein sofortiges Handeln ist nötig um wirksame Sicherheitsmaßnahmen zu umsetzen.