Zaatakowali hakerów ich własną bronią. Takiego zwrotu nikt się nie spodziewał
To wydarzenie może na długo zapisać się w historii cyberbezpieczeństwa. Międzynarodowy zespół ekspertów, w tym także specjalista z Polski, przeprowadził skuteczną operację wymierzoną w jedną z najbardziej aktywnych grup cyberprzestępczych ostatnich miesięcy – BlackLock Ransomware. Tym razem to hakerzy zostali zaskoczeni i zaatakowani własną bronią.
Cyberprzestępcy przechytrzeni przez specjalistów
BlackLock Ransomware działała od marca 2024 roku i specjalizuje się w atakach ransomware oraz publikacji skradzionych danych na własnej stronie internetowej. Grupa poszła jednak o krok dalej – nie tylko przeprowadzała ataki, ale również oferowała innym przestępcom swoje narzędzia jako usługę. Ten „model biznesowy” okazał się ich zgubą. Międzynarodowa organizacja Resecurity, wspólnie z ekspertami z kilku krajów, przeanalizowała stronę internetową BlackLock i odkryła poważną lukę typu Local File Include. W ten sposób udało się przejąć kontrolę nad całą infrastrukturą cyberprzestępców.
Polak odegrał kluczową rolę
Jednym z kluczowych ogniw operacji był Karol Paciorek z CSIRT KNF – zespołu odpowiedzialnego za reagowanie na incydenty cyberbezpieczeństwa w Komisji Nadzoru Finansowego. Już dzień przed przeprowadzeniem akcji ujawnił potencjalne źródło narzędzia wykorzystywanego przez grupę BlackLock do tworzenia oprogramowania ransomware. Jego działania umożliwiły dostęp do kluczowych plików, danych logowania oraz konfiguracji systemu. Dzięki temu możliwe było nie tylko zablokowanie kolejnych ataków, ale również ostrzeżenie potencjalnych ofiar.
Zaskakujący efekt
W ramach operacji eksperci uzyskali dostęp m.in. do ośmiu kont na platformie MEGA, gdzie przechowywano wykradzione dane. Analiza wewnętrznych dokumentów ujawniła harmonogram publikacji danych oraz listę przyszłych celów ataków. Co więcej, narzędzia ransomware BlackLock zawierały zapis, który zakazywał ich użycia wobec krajów BRICS – co może wskazywać na polityczne motywacje tej grupy.
Przykład współpracy ponad granicami
Sukces tej operacji to nie tylko techniczne zwycięstwo nad cyberprzestępcami. To także przykład sprawnej współpracy międzynarodowej, która pozwoliła nie tylko zneutralizować zagrożenie, ale też uderzyć w grupę, która jeszcze niedawno uchodziła za groźnego gracza w cyfrowym podziemiu. Eksperci podkreślają, że szanse na szybkie odbudowanie sił przez BlackLock są znikome. Przejęcie infrastruktury i ujawnienie wewnętrznych danych zadało grupie cios, po którym trudno będzie się jej podnieść.
Redaktorka, korektorka, copywriterka. Studentka dziennikarstwa i medioznawstwa na Uniwersytecie Warszawskim, absolwentka podyplomowej redakcji językowej tekstu na UW. Miłośniczka motoryzacji, podróży, fotografii oraz literatury.
