Z DarkSide se otáčí nový gang ransomwaru

Z DarkSide se otáčí nový gang ransomwaru

Objevila se skupina ransomwaru, která se zaměřuje na velké korporátní subjekty s tržbami 100 milionů $ a více ročně, podle analytici z Recorded Future.

Společnost BlackMatter, která byla považována za nástupce dnes již zaniklých skupin DarkSide a REvil, byla založena v červenci 2021 a v současné době probíhá nábor poboček do programu ransomware-as-service (RaaS) prostřednictvím reklam zveřejněných na dvou fórech o počítačové kriminalitě Exploit a XSS.

Zatímco reklamy na operace s ransomwarem jsou na obou fórech od května 2021 zakázány, BlackMatter to obcházel tím, že zveřejňoval reklamy na nábor „brokerů s počátečním přístupem“ nebo těch, kteří mají přístup k hacknutým podnikovým sítím.

Podle reklam skupina BlackMatter hledá makléře, kteří jí mohou pomoci s přístupem k vysoce hodnotným korporátním sítím společností, které mají tři funkce: tržby 100 USD ročně nebo více za rok; sítě s 500 až 15 000 hostiteli; a nacházejí se buď v USA, Velké Británii, Kanadě nebo Austrálii.

Skupina dodala, že je ochotna zaplatit mezi 3 000 a 100 000 dolary za přístup do těchto sítí, jakož i podíl z případného získaného výkupného.

Podle společnosti Recorded Future tato skupina poskytuje ransomware, který je schopen infikovat různé verze a architektury operačních systémů, včetně Windows, Linux, virtuálních koncových bodů Windows, Linux, VMWare ESXi 5+ a zařízení připojených k síti (NAS).

“Zdá se, že skupina BlackMatter ransomware spolupracuje s herci, kteří mohou poskytnout počáteční přístup organizacím obětí.” U těchto partnerů implementovali požadavky, které pravděpodobně odfiltrují výzkumné pracovníky v oblasti bezpečnosti a vymáhání práva, zvláště nyní s ohledem na značnou pozornost médií, “uvedla Kimberly Goodyová, ředitelka analýzy finanční kriminality v Mandiant Threat Intelligence.

“Mezi příklady těchto požadavků patří starší profil na fóru s minimálním počtem příspěvků, poskytnutí důkazu o předchozí práci s jiným ransomwarem nebo potvrzení přístupu alespoň dvou velkých společností s tržbami přes 100 milionů dolarů.”

Vzhledem k tomu, že gangy ransomwaru mají tendenci přejmenovávat se, aby se vyhnuly vymáhání práva, bezpečnostní vědci spekulují o spojení mezi BlackMatter a jinými skupinami, konkrétně REvil a DarkSide.

Herci stojící například za skupinou REvil, která stála za nedávnou vysoce postavený útok na Kaseyu na začátku července se předpokládá, že jsou stejní herci jako ti, kteří stojí za starým kmenem ransomwaru známým jako GandCrab.

Zatímco v jednom bodě někteří vědci věřili, že REvil přejmenovává na DarkSide, který se poprvé objevil v srpnu 2020, oba pokračovali v provozu bok po boku téměř rok, dokud tento nezaútočil Koloniální potrubí v květnu 2021.

Oba Temná strana a REvil zmizeli od jejich příslušných útoků na Colonial Pipeline a Kaseya, i když přesný důvod jejich odchodu do podzemí nebyl potvrzen.

Vědci z oblasti bezpečnosti upozornili, že web Tor BlackMatter se silně podobá webu DarkSide, přičemž si všimli používání podobného jazyka a uvedeného závazku neútočit na určité cíle.

Podle webu DarkMatter se skupina zavázala neútočit na určitá odvětví nebo organizace. Patří sem nemocnice, zařízení kritické infrastruktury, jako jsou jaderné elektrárny nebo úpravny vody, ropný a plynárenský průmysl, obranný průmysl, neziskové organizace a veřejný sektor. Dodal: „Pokud je vaše společnost na tomto seznamu, můžete nás požádat o bezplatné dešifrování.“

Přestože na webu v současné době nejsou uvedeny žádné oběti, Spící počítač byl schopen potvrdit, že probíhají aktivní útoky, a že nejméně jedna oběť již zaplatila 4 miliony dolarů aktérům ohrožení.

BleepingComputer později hlášeno že našel dešifrátor od oběti BlackMatter, což analýza ukázala, že používá stejné jedinečné šifrovací metody, jaké používá DarkSide.

Kopii ransomwaru BlackMatter také nahrál vědec McAfee Christiaan Beek na web Abuse.ch pro sledování počítačové kriminality MalwareBazaarDatabase. Po prozkoumání kódu ostatní bezpečnostní firmy ověřily, že podobnosti silně naznačují, že BlackMatter je rebrandingem DarkSide.

“Viděli jsme nějaké náznaky, které v současné době naznačují, že alespoň jeden herec připojený k některým operacím ransomwaru DarkSide se vyrovnává s BlackMatter.” To není nutně překvapující, protože běžně vidíme, že pobočky ransomwaru spolupracují s více poskytovateli, “řekl Goody.

Share

Leave a Reply

Your email address will not be published.