BlackMatter 랜섬웨어

두 개의 가장 큰 랜섬웨어 작업이 갑자기 활동을 중단하기로 결정한 후 남은 공백이 이제 현장의 새로운 플레이어로 채워지기 시작한 것 같습니다. REvil과 Darkside는 그룹이 원치 않는 관심을 끌었던 대규모 랜섬웨어 공격을 수행한 후 운영을 중단했습니다. REvil 은 글로벌 육류 생산업체인 JBS와 관리형 네트워크 서비스 제공업체인 Kaseya의 네트워크를 손상시킨 반면 Darkside 는 송유관 운영업체인 Colonial Pipeline의 운영을 방해했습니다.

이제 BlackMatter라는 새로운 랜섬웨어 복장이 REvil과 Darkside의 기능을 모두 통합했다고 주장합니다. Recorded Future의 분석가는 지하 해커 포럼에서 스스로 광고하는 그룹을 발견했습니다. BlackMatter는 최근 포럼에서 RaaS(Ransomware-as-a-Service) 체계를 다루는 게시물을 금지하기로 결정한 것을 우회하기 위해 '초기 액세스 브로커'를 찾고 있습니다. 이것이 실제로 의미하는 바는 새로 설립된 랜섬웨어 갱단이 이미 손상된 기업 네트워크에 대한 액세스 권한을 구매하려고 한다는 것입니다.

피해자는 엄격한 요구 사항을 충족해야 합니다.

게시된 광고에서 BlackMatter는 미국, 캐나다, 호주 및 영국의 4개 특정 국가에서 운영되는 가장 큰 기업에만 관심이 있다고 명시합니다. 잠재적 피해자는 또한 연간 수익이 1억 달러 이상이어야 합니다. 또한 침해된 네트워크에는 500~15,000개의 호스트가 있어야 합니다. 기준을 충족하는 대상의 경우 해커는 독점 액세스를 보장하기 위해 최대 10만 달러를 지불할 용의가 있습니다.

그룹이 선택한 기업 네트워크에 대한 액세스 권한을 획득하면 내부 시스템에 대한 통제를 설정하는 위협적인 도구를 출시할 것입니다. 다음 단계는 암호화 위협을 배포하여 감염된 장치에 저장된 데이터를 잠그는 것입니다. BlackMatter는 분명히 Windows, Linux, NAS(Network-Attached Storage) 장치 및 VMWare ESXi 5+ 가상 엔드포인트를 포함한 다양한 시스템의 대규모 세트를 손상시킬 준비가 되어 있습니다.

다크 웹의 누출 사이트

현재 대부분의 랜섬웨어 갱단과 마찬가지로 BlackMatter는 Dark Web에서 호스팅되는 전용 유출 사이트도 제작했습니다. Recorded Future 연구원에 따르면 사이트는 현재 비어 있으며 최근에야 형성되는 그룹의 증거입니다. 그러나 이 가정에 의문을 제기하는 몇 가지 증거가 있습니다. 그룹의 표적이 되지 않을 개체 목록을 설명하는 새로 등장한 누출 사이트의 섹션은 이전에 Darkside 사이트에서 사용할 수 있었던 것과 매우 유사합니다. 지금까지 분석가에 의해 감지된 BlackMatter 작업의 인프라도 Darkside에 연결을 제공할 수 있지만 현재로서는 충분히 결정적인 것이 없습니다.

그러나 사이트에 따르면 BlackMatter는 병원, 발전소, 석유 및 가스 산업 조직, 비영리 조직 및 기타 공공적으로 중요한 단체와 같은 중요 시설을 손상시키는 것을 적극적으로 피할 것입니다. 해커는 실수로 제외된 섹터 중 하나에서 회사 시스템을 암호화하면 잠긴 모든 데이터의 무료 암호 해독을 돕겠다고 약속합니다.