Un groupe de chercheurs en cybersécurité est parvenu à exploiter une faille critique dans le site de fuites de données du groupe de ransomware BlackLock. Cette opération de contre-offensive numérique a permis de découvrir les méthodes d’attaque, les identifiants sensibles et les erreurs internes d’un des groupes de cybercriminels les plus actifs en 2025. Une faille de configuration sur le site caché du groupe a révélé des adresses IP, des scripts internes et des communications entre opérateurs, exposant ainsi les dessous d’un réseau structuré opérant via le dark web.
Une faille dans l’infrastructure de BlackLock exploitée par les chercheurs
Une vulnérabilité de type Local File Inclusion (LFI)
Les experts en cybersécurité de Resecurity ont identifié une vulnérabilité LFI (Local File Inclusion) dans le site de fuites de données (Data Leak Site – DLS) de BlackLock. Cette faille a permis d’accéder aux commandes exécutées, aux fichiers de configuration internes, ainsi qu’aux identifiants de services liés au groupe criminel. Cette exposition est présentée comme l’une des plus importantes erreurs dans l’opsec (operational security) de l’histoire de BlackLock.
Des adresses IP en clair découvertes
Malgré l’utilisation de services cachés sur le réseau Tor, une mauvaise configuration a divulgué les adresses IP accessibles en clair utilisées pour héberger les infrastructures du groupe. Une faille inacceptable à ce niveau d’anonymat, qui a permis aux analystes de mieux cartographier l’écosystème technique de BlackLock.
Un groupe criminel en pleine expansion
BlackLock, successeur d’Eldorado
BlackLock est le successeur du ransomware Eldorado. Depuis son rebranding, le groupe s’est positionné comme l’un des syndicats de cyberextorsion les plus actifs de 2025. Ses cibles privilégiées : les entreprises des secteurs technologiques, de la finance, de la construction, de la fabrication industrielle et du commerce de détail.
Une campagne internationale d’attaques
Le ransomware compte à ce jour 46 victimes officiellement listées sur son site. Les attaques ont touché des entreprises en France, aux États-Unis, au Royaume-Uni, aux Pays-Bas ou encore en Italie. Le groupe recrute désormais des « traffers », responsables de rediriger les internautes vers des pages malveillantes afin d’établir un premier accès sur les réseaux compromis.
Des similarités troublantes avec d’autres groupes
Des liens avec DragonForce
Les chercheurs ont repéré que le code source et les messages de rançon de BlackLock partagent de fortes similarités avec un autre ransomware appelé DragonForce. Bien que ce dernier soit développé en Visual C++, tandis que BlackLock utilise le langage Go, des éléments concordants suggèrent une collaboration ou une réutilisation de composants techniques.
Une guerre entre cybercriminels
Dans un retournement de situation, le site de fuites de BlackLock a été défiguré par DragonForce le 20 mars 2025. Des fichiers de configuration et des discussions internes ont été publiés sur la page d’accueil. Le jour précédent, le site du projet Mamona, une initiative lancée par « $$$ », l’un des opérateurs de BlackLock, avait subi le même sort.
Une opportunité d’apprentissage pour les passionnés de cybersécurité
Leçons techniques à tirer de l’affaire BlackLock
Les techniques d’exfiltration de données utilisées par les acteurs de BlackLock, comme l’utilisation de Rclone et le stockage sur MEGA via des emails jetables yopmail, témoignent de la sophistication des groupes actuels. Comprendre ces méthodes permet de mieux se défendre et d’anticiper les menaces. Pour celles et ceux qui souhaitent apprendre à hacker de manière éthique, le livre pour hacker disponible sur CyberCare est une ressource précieuse. Il offre une immersion dans les techniques de hacking utilisées dans les attaques réelles, avec une approche pédagogique adaptée aux débutants comme aux professionnels.
Pourquoi les entreprises doivent renforcer leur cybersécurité
L’incident BlackLock démontre que même les cybercriminels peuvent commettre des erreurs d’ingénierie ou de configuration. Cela souligne l’importance pour les entreprises de sécuriser leur infrastructure web, notamment contre les vulnérabilités LFI, qui sont encore trop souvent négligées. Une lecture approfondie des mécanismes de hacking peut aussi servir de base pour mieux concevoir une architecture défensive résiliente.
L’affaire BlackLock rappelle combien il est nécessaire de faire appel à un partenaire fiable comme CyberCare pour anticiper les cybermenaces et renforcer la sécurité de votre organisation face à des groupes toujours plus structurés et agressifs.
