Threat Database Ransomware BlackMatter Ransomware

BlackMatter Ransomware

Det ser ud til, at tomrummet efter to af de største ransomware-operationer besluttede at lukke deres aktiviteter pludselig nu begynder at blive udfyldt af nye spillere i felter. REvil og Darkside ophørte med at arbejde efter grupperne udførte massive ransomware-angreb, der tilsyneladende tiltrak for meget uønsket opmærksomhed. REvil kompromitterede netværkene fra den globale kødproducent JBS og den administrerede netværkstjenesteudbyder Kaseya, mens Darkside forstyrrede driften af olierørledningsoperatøren Colonial Pipeline.

Nu hævder et nyt ransomware-outfit med navnet BlackMatter at have indarbejdet kapaciteterne hos både REvil og Darkside. Analytikerne hos Recorded Future opdagede gruppen, der annoncerede sig på underjordiske hackerfora. For at omgå forums for nylig beslutning om at forbyde indlæg, der beskæftiger sig med RaaS (Ransomware-as-a-Service) -ordninger, er BlackMatter i stedet på udkig efter 'initial access brokers'. Hvad dette betyder i praksis er, at den nyetablerede ransomware-bande søger at købe adgang til allerede kompromitterede virksomhedsnetværk.

Ofre skal opfylde strenge krav

I de indsendte annoncer oplyser BlackMatter, at de kun er interesseret i de største virksomheder, der opererer i fire specifikke lande - USA, Canada, Australien og Storbritannien. De potentielle ofre skal også have en årlig omsætning på $ 100 millioner eller derover. Desuden skal de brudte netværk have mellem 500 og 15 tusind værter. For mål, der opfylder kriterierne, er hackerne villige til at betale op til $ 100.000 for at garantere deres eksklusive adgang.

Når gruppen har fået adgang til det valgte virksomhedsnetværk, frigiver den truende værktøjer, der har til opgave at etablere kontrol over de interne systemer. Det næste trin er at implementere krypteringstrusler for at låse de data, der er gemt på de inficerede enheder. BlackMatter er tilsyneladende klar til at kompromittere et stort sæt forskellige systemer, herunder Windows, Linux, netværksbundet lager (NAS) -enheder og VMWare ESXi 5+ virtuelle slutpunkter.

Lækageside på det mørke web

Præcis som de fleste nuværende ransomware-bander, har BlackMatter også lavet sit eget dedikerede lækageside hostet på Dark Web. Ifølge Recorded Future-forskerne er webstedet tomt i øjeblikket, et vidnesbyrd om, at gruppen først blev dannet for nylig. Der er dog nogle beviser, der rejser tvivl om denne antagelse. Et afsnit om det nyligt opståede lækageside, der beskriver en liste over enheder, der ikke vil blive målrettet af gruppen, har en slående lighed med det, der tidligere var tilgængeligt på Darksides websted. Infrastrukturen i BlackMatter-operationen, som hidtil er blevet opdaget af analytikere, kan også give en forbindelse til Darkside, men i øjeblikket er intet afgørende nok.

Ifølge sit websted vil BlackMatter stadig aktivt undgå at kompromittere hospitaler, kritiske faciliteter såsom kraftværker, olie- og gasindustriorganisationer, nonprofitorganisationer og andre enheder med offentlig betydning. Hackerne lover, at hvis de ved et uheld krypterer en virksomheds systemer fra en af de udelukkede sektorer, vil de derefter hjælpe med gratis dekryptering af alle låste data.

Relaterede indlæg

Trending

Mest sete

Indlæser...