Pesquisadores de segurança cibernética conseguiram explorar uma falha no site de vazamento de dados do grupo de ransomware BlackLock, obtendo informações cruciais sobre suas operações. Os pesquisadores identificaram uma vulnerabilidade do tipo “Local File Inclusion” (LFI), que permitiu acessar arquivos de configuração, credenciais e até o histórico de comandos executados no servidor do grupo.

A falha, causada por uma configuração incorreta no site hospedado na darknet, revelou inclusive os endereços IP reais usados pelos operadores por trás da infraestrutura do grupo, além de outros dados sensíveis. Segundo a Resecurity, esse vazamento representa uma das maiores falhas de segurança operacional (OPSEC) já registradas para o grupo. O BlackLock é uma versão rebatizada do ransomware Eldorado e, desde então, se tornou um dos grupos de extorsão mais ativos de 2025. Seus alvos principais são empresas dos setores de tecnologia, finanças, varejo, construção e manufatura.

Até o momento, o grupo já listou 46 vítimas, localizadas em países como Brasil, Argentina, EUA, Reino Unido, Canadá, França e Emirados Árabes. Entre os achados, está o uso da ferramenta Rclone para exfiltrar dados para contas no serviço MEGA, com clientes do MEGA sendo instalados diretamente em máquinas das vítimas. Foram identificadas ao menos oito contas criadas com e-mails descartáveis do YOPmail. A engenharia reversa do ransomware revelou semelhanças com a variante DragonForce, ativa na Arábia Saudita. Em um episódio inusitado, o próprio site de vazamentos do BlackLock foi invadido e desfigurado pelo grupo DragonForce, revelando possíveis conflitos internos ou uma fusão silenciosa entre os grupos.