これは非日常なニュースだ。とあるサイバーセキュリティベンダーが悪名高いランサムウェア一味のインフラに侵入し、被害者を支援するためデータを収集して国家機関に渡したことを公表した。
Resecurity 社は、同社が 2024 年のホリデーシーズンに TORベースのデータ漏えいサイト(DLS)の脆弱性を発見し、のちに脆弱性を利用したことで、先週(編集部註:3 月第 4 週)の BlackLock ランサムウェアギャングのウェブサイト閉鎖に寄与したと述べた。
同社は、BlackLock の Webサイトで「特定の構成ミス」を発見した後、ホスティングインフラストラクチャに関連するクリアネット IP アドレスを見つけ、ローカルファイルインクルード(LFI)の脆弱性を利用して、構成ファイルや、重要な資格情報などのサーバー側データを収集した。
「Resecurity は、インフラストラクチャを乗っ取るために、脅威アクターのアカウントのハッシュクラッキングにかなりの時間を費やしました」と同社はブログ投稿で述べている。
収集されたデータの中には、BlackLock の主要オペレーターの 1 人である「$$$」が長期間にわたって入力したコマンドの履歴があり、コピー&ペーストされた認証情報も含まれていた。米国のベンダーの見解ではこれは、このギャングにとって運用セキュリティ上の最も重大な失敗に相当する。
研究者たちによると、ペーストされたパスワードの 1 つは、オペレーターの 1 人が管理する他の複数のアカウントでも再利用されていたため、BlackLock の内部構造を理解するための新たな道が開かれもしたという。
