Celah di Dark Web Bikin Geng Ransomware BlackLock Terbongkar

Sebuah operasi kriminal besar yang dilakukan oleh geng ransomware BlackLock kini terancam bubar. Hal ini bermula dari adanya cacat keamanan pada situs geng tersebut di dark web, yang berhasil dieksploitasi oleh para peneliti keamanan Resecurity. Penyusupan ini tak hanya mengungkap seluruh operasi geng BlackLock, tetapi juga memungkinkan pihak berwenang untuk mengidentifikasi calon korban dan memberi peringatan dini sebelum serangan meluas.

Geng BlackLock, yang juga dikenal sebagai El Dorado, merupakan kelompok kriminal yang telah sukses menyerang setidaknya 40 organisasi di seluruh dunia. Mereka bahkan memiliki rencana untuk merekrut "afiliasi" yang akan membantu menyebarkan ransomware ke lebih banyak target.

Pada akhir tahun 2024, Resecurity mengidentifikasi adanya kerentanan pada situs BlackLock, di mana mereka secara rutin mempublikasikan data curian dari korban. Cacat konfigurasi ini, yang dikenal sebagai Local File Inclusion, memungkinkan mengambil alamat IP infrastruktur jaringan, file konfigurasi, hingga kredensial akun geng tersebut.

Resecurity kemudian berhasil membobol akun-akun tersebut, memberinya akses untuk memantau dan mengambil alih infrastruktur geng. Akses ini membuka riwayat log perintah yang digunakan geng dalam mengelola server situs mereka. Ironisnya, sebuah kata sandi yang disalin oleh salah satu aktor BlackLock ternyata berlaku untuk beberapa akun lain yang digunakan oleh grup tersebut.

Baca Juga: Grup Peretas 'Scattered Spider' Kembali Aktif, Menargetkan Sektor Keuangan

Akses ini juga mengungkap alamat email yang digunakan geng untuk layanan berbagi file MEGA, yang mereka manfaatkan untuk memfasilitasi pencurian data dari serangan yang berhasil.

Pada bulan Januari, ketika BlackLock bersiap untuk mempublikasikan kebocoran data dari serangan baru, Resecurity segera memperingatkan pihak berwenang dan calon korban di Kanada dan Prancis. Alamat IP yang ditemukan juga mengindikasikan bahwa anggota geng ini kemungkinan berbasis di Rusia dan Tiongkok, meskipun tidak menutup kemungkinan mereka menggunakan VPN untuk menyamarkan lokasi.

Secara misterius, BlackLock tiba-tiba menghilang pada bulan ini. Sebuah kelompok ransomware lain bernama DragonForce terlihat membajak dan merusak situs BlackLock di dark web, mengisyaratkan bahwa Resecurity bukanlah satu-satunya pihak yang menemukan kerentanan tersebut.

DragonForce ingin mempermalukan dan mengkompromikan operasi pesaingnya. Namun, taktik semacam itu juga bisa menjadi sebuah "bendera palsu" untuk memuluskan transisi ke proyek baru, mengingat beberapa fragmen kode komputer BlackLock dan DragonForce memiliki kesamaan.

Meskipun demikian, Kerentanan yang ditemukan cukup parah sehingga BlackLock "mengalami kerusakan signifikan dan kemungkinan besar tidak akan bisa pulih." Buruknya keamanan operasional (OPSEC) yang mereka tunjukkan membuat afiliasi mungkin akan khawatir untuk bekerja sama dengan mereka lagi di masa mendatang.