BlackMatter ransomware

Sembra che il vuoto lasciato dopo che due delle più grandi operazioni di ransomware hanno deciso di chiudere improvvisamente le loro attività, stia ora iniziando a essere riempito da nuovi giocatori nei campi. REvil e Darkside hanno cessato le operazioni dopo che i gruppi hanno eseguito massicci attacchi ransomware che, a quanto pare, hanno attirato troppa attenzione indesiderata. REvil ha compromesso le reti del produttore globale di carne JBS e il fornitore di servizi di rete gestiti Kaseya, mentre Darkside ha interrotto le operazioni dell'operatore di oleodotti Colonial Pipeline.

Ora, un nuovo gruppo di ransomware chiamato BlackMatter afferma di aver incorporato le capacità di REvil e Darkside. Gli analisti di Recorded Future hanno scoperto che il gruppo si pubblicizzava sui forum di hacker sotterranei. Per aggirare la recente decisione dei forum di vietare i post che trattano di schemi RaaS (Ransomware-as-a-Service), BlackMatter sta invece cercando "broker di accesso iniziale". Ciò che questo significa in pratica è che la nuova banda di ransomware sta cercando di acquistare l'accesso a reti aziendali già compromesse.

Le vittime devono soddisfare requisiti rigorosi

Negli annunci pubblicati, BlackMatter afferma di essere interessato solo alle più grandi imprese che operano in quattro paesi specifici: Stati Uniti, Canada, Australia e Regno Unito. Le potenziali vittime devono anche avere entrate annuali di $ 100 milioni o superiori. Inoltre, le reti violate devono avere tra i 500 ei 15mila host. Per obiettivi che soddisfano i criteri, gli hacker sono disposti a pagare fino a $ 100.000 per garantire il loro accesso esclusivo.

Una volta ottenuto l'accesso alla rete aziendale prescelta, il gruppo rilascerà strumenti minacciosi incaricati di stabilire il controllo sui sistemi interni. Il passaggio successivo consiste nel distribuire le minacce di crittografia per bloccare i dati archiviati sui dispositivi infetti. BlackMatter, a quanto pare, è pronto a compromettere un ampio set di sistemi diversi tra cui Windows, Linux, dispositivi NAS (Network-Attached Storage) ed endpoint virtuali VMWare ESXi 5+.

Sito di perdite sul Dark Web

Esattamente come la maggior parte delle attuali gang di ransomware, BlackMatter ha anche creato un proprio sito di perdite dedicato ospitato sul Dark Web. Secondo i ricercatori di Recorded Future, il sito è al momento vuoto, a testimonianza del gruppo formatosi solo di recente. Tuttavia, ci sono alcune prove che mettono in dubbio questa ipotesi. Una sezione sul sito di fuga appena emerso che descrive un elenco di entità che non saranno prese di mira dal gruppo presenta una sorprendente somiglianza con ciò che era disponibile in precedenza sul sito di Darkside. L'infrastruttura dell'operazione BlackMatter che è stata rilevata finora dagli analisti potrebbe anche fornire una connessione a Darkside, ma al momento nulla è abbastanza conclusivo.

Tuttavia, secondo il suo sito, BlackMatter eviterà attivamente di compromettere ospedali, strutture critiche come centrali elettriche, organizzazioni dell'industria petrolifera e del gas, organizzazioni senza scopo di lucro e altre entità di importanza pubblica. Gli hacker promettono che se per errore crittografano i sistemi di un'azienda di uno dei settori esclusi, assisteranno nella decrittazione gratuita di tutti i dati bloccati.