Un error en un sitio de TOR marcó el fin de tres grupos criminales

Especialistas de Resecurity descubrieron una vulnerabilidad en el sitio del dark web del grupo BlackLock y lograron hackear la infraestructura de los delincuentes. Las acciones de los analistas provocaron el colapso de la agrupación. BlackLock (también conocida como El Dorado) había ganado fuerza rápidamente en la escena del cibercrimen desde la primavera de 2024 y, para finales de año, ya figuraba entre los diez grupos de ransomware más activos.

La vulnerabilidad en el sitio de BlackLock resultó ser crítica: un error de tipo Local File Include permitió acceder a archivos internos ocultos del servidor. Gracias a este fallo, los investigadores obtuvieron datos de configuración, registros, accesos SSH, historial de comandos y otros elementos sensibles de control. Uno de los hallazgos clave fueron los archivos de texto que contenían inicios de sesión y contraseñas, algunos repetidos en varias cuentas del grupo.

Además de las configuraciones, se accedió a la infraestructura donde almacenaban los datos robados. Se descubrió que los extorsionadores utilizaban ocho cuentas del servicio en la nube MEGA, creadas mediante correos temporales de YOPmail. Para comunicarse con las víctimas, usaban el servicio anónimo de correo electrónico Cyberfear.

La investigación permitió reunir información detallada sobre víctimas y ataques planeados. Se confirmaron al menos 46 compromisos, entre ellos a organizaciones de los sectores salud, defensa, educación, TI, electrónica y entes gubernamentales. Sin embargo, la cifra real de víctimas podría ser mucho mayor.

En diciembre de 2024, Resecurity comenzó a monitorear activamente la actividad del grupo, y en febrero de 2025 logró establecer contacto con uno de los socios de la red de afiliados de BlackLock. Gracias a esto, obtuvieron muestras de ransomware para distintos sistemas operativos, lo que permitió un análisis más profundo de sus tácticas y herramientas. Dos días después, uno de los miembros del grupo comenzó a discutir inesperadamente una posible “salida” del negocio.

La situación desembocó en un colapso total. En marzo de 2025, los sitios del dark web de BlackLock y de sus socios de Mamona fueron modificados (defaceados) por otro grupo de ransomware: DragonForce. Los atacantes publicaron conversaciones internas, incluidos mensajes entre miembros y víctimas, lo que socavó la confianza en los operadores anteriores. Según los analistas, esto podría ser tanto un ataque real de competidores como una maniobra de distracción (falsa bandera).

El análisis de muestras antiguas de ransomware reveló que el código de BlackLock y DragonForce era casi idéntico. Esto podría indicar una transferencia del proyecto a un nuevo operador o una estrecha integración entre ambos grupos. Es posible que DragonForce haya absorbido la estructura de BlackLock junto con sus socios para reforzar su posición en el mercado negro.

Ante el fracaso masivo, las filtraciones constantes, las vulnerabilidades y la intervención de las autoridades, Resecurity considera que BlackLock no podrá recuperarse. La pérdida de socios y la falta de confianza destruyeron el proyecto. Mientras tanto, DragonForce parece estar ganando influencia y podría intensificar pronto sus campañas maliciosas.