BlackLock-Ransomware enttarnt: Sicherheitsexperten nutzen Schwachstelle auf Leak-Seite aus

Das Cybersicherheitsunternehmen Resecurity hat eine Sicherheitslücke auf der Data Leak Site (DLS) der Cybercrime-Gruppe BlackLock identifiziert. Die Schwachstelle ermöglichte es, Konfigurationsdateien, Zugangsdaten sowie die vollständige Historie der auf dem Server ausgeführten Befehle auszulesen.

Nach Angaben von Resecurity handelt es sich bei der Schwachstelle um eine fehlerhafte Konfiguration innerhalb der DLS von BlackLock. Diese Fehlkonfiguration führte zur Preisgabe von Clearnet-IP-Adressen, die mit der Netzwerk-Infrastruktur hinter den über das TOR-Netzwerk verborgenen Diensten in Verbindung stehen. Darüber hinaus wurden weitere dienstspezifische Informationen offengelegt.

Besonders gravierend stuft Resecurity den Zugriff auf die Befehlshistorie ein. Dieser Vorfall wird als einer der bislang schwerwiegendsten Operational Security (OPSEC)-Fehler der Ransomware-Gruppe gewertet.

Ursprung und Ziel von BlackLock

BlackLock ist eine Weiterentwicklung der bereits bekannten Ransomware-Gruppe Eldorado. Die Gruppe zählt mittlerweile zu den aktivsten Erpressungsnetzwerken im Jahr 2025. Sie richtet sich gezielt gegen Unternehmen aus den Bereichen Technologie, Industrie, Bauwesen, Finanzwesen und Einzelhandel. Bis Ende des Vormonats wurden auf ihrer Data Leak Site insgesamt 46 betroffene Organisationen gelistet.

Betroffene Organisationen stammen unter anderem aus Argentinien, Aruba, Brasilien, Kanada, der Demokratischen Republik Kongo, Kroatien, Peru, Frankreich, Italien, den Niederlanden, Spanien, den Vereinigten Arabischen Emiraten, dem Vereinigten Königreich und den Vereinigten Staaten.

Im Januar 2025 kündigte BlackLock den Aufbau eines kriminellen Partnernetzwerks im Untergrund an. Seitdem wurde beobachtet, wie sogenannte Traffer gezielt angeworben wurden. Diese locken potenzielle Opfer auf manipulierte Webseiten, über die Schadsoftware eingeschleust wird. Die so installierte Malware ermöglicht den Angreifern den ersten Zugriff auf die Zielsysteme.

Die von Resecurity identifizierte Schwachstelle auf der Leak-Seite von BlackLock ist als Local File Inclusion (LFI) klassifiziert. Dabei handelt es sich um eine sogenannte Path Traversal-Schwachstelle: Durch gezielte Manipulation von Pfadangaben im Webserver gelingt es Angreifern, auf sensible Dateien zuzugreifen. In diesem Fall konnten dadurch unter anderem die Kommando-Historien der BlackLock-Operatoren eingesehen werden.

Zentrale Erkenntnisse

Einige der wichtigsten Erkenntnisse von Resecurity im Zusammenhang mit der Analyse der BlackLock-Ransomware sind nachfolgend zusammengefasst:

• Es wurde festgestellt, dass die Angreifer das Tool Rclone zur Exfiltration von Daten in den Cloudspeicherdienst MEGA verwendeten. In einigen Fällen wurde der MEGA-Client sogar direkt auf den kompromittierten Systemen der Opfer installiert.

• Die Bedrohungsakteure legten mindestens acht MEGA-Konten an, um dort gestohlene Daten abzulegen. Zur Registrierung wurden temporäre E-Mail-Adressen über den Dienst YOPmail erstellt (beispielsweise „zubinnecrouzo-6860@yopmail.com“).

• Eine Reverse-Engineering-Analyse der Ransomware brachte Quellcode-Ähnlichkeiten sowie nahezu identische Erpressernotizen mit einer anderen Ransomware-Variante namens DragonForce zutage, die bereits Organisationen in Saudi-Arabien ins Visier genommen hatte. Während DragonForce in Visual C++ entwickelt wurde, basiert BlackLock auf der Programmiersprache Go.

• Einer der zentralen Akteure hinter BlackLock, der unter dem Pseudonym „$$$“ auftritt, startete am 11. März 2025 ein kurzlebiges Ransomware-Projekt mit dem Namen Mamona.

Eine besonders bemerkenswerte Wendung ereignete sich am 20. März 2025, als die DLS von BlackLock durch DragonForce manipuliert wurde. Dabei wurden offenbar Konfigurationsdateien und interne Chatprotokolle über die Startseite der DLS öffentlich gemacht. Wahrscheinlich wurde dabei dieselbe Local File Inclusion (LFI)-Schwachstelle oder eine ähnliche Sicherheitslücke ausgenutzt. Bereits einen Tag zuvor war auch die DLS der Mamona-Ransomware kompromittiert worden.

Resecurity kommentierte die Vorgänge mit einer aufschlussreichen Einschätzung: „Ob BlackLock inzwischen mit der Ransomware-Gruppe DragonForce kooperiert oder heimlich übernommen wurde, bleibt derzeit unklar. Vieles deutet jedoch darauf hin, dass eine stille Machtübernahme im Hintergrund stattgefunden hat – inklusive der bisherigen Partnerstruktur. Wahrscheinlich ist das Teil einer gezielten Konsolidierung innerhalb der Cybercrime-Szene, nachdem bekannt wurde, dass die ursprüngliche Gruppe kompromittiert worden sein könnte.“

Besonders brisant: „Der mutmaßliche Hauptakteur mit dem Decknamen ‚$$$‘ reagierte auf die Angriffe gegen BlackLock und Mamona überhaupt nicht. Es ist gut möglich, dass er bereits wusste, dass seine Operationen aufgeflogen sind – und sich deshalb lautlos aus dem Geschäft zurückgezogen hat.“