Die Feiertage um Weihnachten und Neujahr sind eigentlich eine beliebte Zeit für Cyberangriffe. Doch jetzt haben Security-Experten diese Tage genutzt, um den Spiess umzudrehen. Man habe eine Schwachstelle auf der Data Leak Site der Ransomware-Bande Blacklock alias Eldorado im Tor-Netzwerk entdeckt, schreibt die US-Firma Resecurity in einem Blogbeitrag. "Die erfolgreiche Ausnutzung dieser Schwachstelle ermöglichte es unseren Analysten, umfangreiche Informationen über deren Aktivitäten ausserhalb der Öffentlichkeit zu sammeln."

Blacklock ist seit März 2024 aktiv und operiert mit dem Ransomware-as-a-Service-Modell. Laut Resecurity wurden bis zum vergangenen Februar weltweit 46 Opfer der Bande aus verschiedenen Wirtschaftszweigen identifiziert. Man habe aber Grund zu der Annahme, dass es den Akteuren gelungen ist, eine weitaus grössere Zahl von Opfern zu kompromittieren

Nach Angaben der Security-Spezialisten wurde auf der Darkwebsite von Blacklock eine "gewisse Fehlkonfiguration" festgestellt. So konnten Clearnet-IP-Adressen ermittelt werden, die mit der Hosting-Infrastruktur in Zusammenhang standen. Anschliessend wurde eine Local-File-Include-Sicherheitslücke ausgenutzt, um auf Servern Konfigurationsdateien und Anmeldeinformationen der Cyberkriminellen abzugreifen.

"Seitdem haben unsere Analysten heimlich kritische und bisher nicht veröffentlichte Informationen im Zusammenhang mit Netzwerkinfrastrukturen, Protokollen, beteiligten ISPs und Hosting-Anbietern, Zeitstempeln von Logins und zugehörigen Filesharing-Konten erbeutet", so Resecurity im Blogbeitrag, der den Hack der Bande und Erkenntnisse über diese detailliert beschreibt.

Die Firma kontaktierte unter anderem die Cybersecurity-Behörden in Kanada und Frankreich, um Informationen über dortige Opfer von Blacklock zu teilen. So sei es weiter gelungen, "einige der geplanten Angriffe vorherzusagen und zu verhindern sowie nicht genannte Opfer durch Alarmierung zu schützen".

Die Analysten seien möglicherweise aber nicht die einzigen gewesen, die eine Schwachstelle in der Darkweb-Präsenz der Bande entdeckten und erfolgreich ausnutzten. "Am 20. März 2025 wurde die Data Leak Site von Blacklock durch die Veröffentlichung der offengelegten Konfigurationsdateien unkenntlich gemacht und technisch lahmgelegt", schreibt Resecurity.

Daraufhin sei durch den Ransomware-Konkurrenten Dragonforce ein Chat veröffentlicht worden, der vermutlich den Betreibern von Blacklock gehörte. "Obwohl die Echtheit des Chats nicht bestätigt werden kann, entsprechen die veröffentlichten Serverdateien denen, die Resecurity während der Winterereignisse erbeutet hatte", heisst es im Blogbeitrag. "Offenbar wollte Dragonforce die Gruppe blossstellen und ihre Aktivitäten kompromittieren, um Konkurrenten auszuschalten. Andererseits könnten solche Taktiken auch als 'False Flag' genutzt werden, um den Übergang zu einem neuen Projekt voranzutreiben."

Der Fall zeige aber die Vorteile, im Kampf gegen Ransomware nicht nur die Verteidigung zu stärken, sondern auch in die Offensive zu gehen. "Resecurity ist davon überzeugt, dass der proaktive, praktische Ansatz zur Unterbrechung der Ketten der Cyberkriminalität der Schlüsselfaktor für die weltweite Bekämpfung von Ransomware-Aktivitäten ist", betonen die Security-Spezialisten.