BlackMatter-ransomware

Het lijkt erop dat de leegte die ontstond nadat twee van de grootste ransomware-operaties besloten hun activiteiten plotseling stop te zetten, nu begint te worden opgevuld door nieuwe spelers in het veld. REvil en Darkside stopten met hun activiteiten nadat de groepen massale ransomware-aanvallen hadden uitgevoerd die blijkbaar te veel ongewenste aandacht trokken. REvil bracht de netwerken van de wereldwijde vleesproducent JBS en beheerde netwerkserviceprovider Kaseya in gevaar, terwijl Darkside de activiteiten van de oliepijpleidingbeheerder Colonial Pipeline verstoorde.

Nu beweert een nieuwe ransomware-outfit genaamd BlackMatter de mogelijkheden van zowel REvil als Darkside te hebben geïntegreerd. De analisten van Recorded Future ontdekten dat de groep zichzelf adverteerde op ondergrondse hackerforums. Om de recente beslissing van de forums om berichten over RaaS-schema's (Ransomware-as-a-Service) te verbieden, te omzeilen, is BlackMatter in plaats daarvan op zoek naar 'initiële toegangsmakelaars'. Wat dit in de praktijk betekent, is dat de nieuw opgerichte ransomwarebende toegang wil kopen tot reeds gecompromitteerde bedrijfsnetwerken.

Slachtoffers moeten aan strenge eisen voldoen

In de geplaatste advertenties stelt BlackMatter dat ze alleen geïnteresseerd zijn in de grootste ondernemingen die actief zijn in vier specifieke landen - de VS, Canada, Australië en het VK. De potentiële slachtoffers moeten ook een jaarlijkse omzet van $ 100 miljoen of meer hebben. Bovendien moeten de geschonden netwerken tussen de 500 en 15 duizend hosts hebben. Voor doelen die aan de criteria voldoen, zijn de hackers bereid tot $ 100.000 te betalen om hun exclusieve toegang te garanderen.

Zodra de groep toegang heeft gekregen tot het gekozen bedrijfsnetwerk, zal het bedreigende tools vrijgeven die belast zijn met het verkrijgen van controle over de interne systemen. De volgende stap is het inzetten van encryptiebedreigingen om de gegevens op de geïnfecteerde apparaten te vergrendelen. BlackMatter is klaar om een groot aantal verschillende systemen te compromitteren, waaronder Windows, Linux, Network-Attached Storage (NAS)-apparaten en VMWare ESXi 5+ virtuele eindpunten.

Lekkende site op het dark web

Net als de meeste huidige ransomware-bendes, heeft BlackMatter ook zijn eigen speciale leksite gemaakt die wordt gehost op het Dark Web. Volgens de Recorded Future-onderzoekers is de site op dit moment leeg, een bewijs dat de groep zich pas onlangs heeft gevormd. Er is echter enig bewijs dat deze veronderstelling in twijfel trekt. Een sectie op de nieuw verschenen leksite die een lijst beschrijft van entiteiten die niet door de groep zullen worden aangevallen, vertoont een opvallende gelijkenis met wat eerder beschikbaar was op de site van Darkside. De infrastructuur van de BlackMatter-operatie die tot nu toe door analisten is gedetecteerd, kan mogelijk ook een verbinding met Darkside bieden, maar op dit moment is niets sluitend genoeg.

Toch zal BlackMatter volgens zijn site actief vermijden om ziekenhuizen, kritieke faciliteiten zoals energiecentrales, organisaties in de olie- en gasindustrie, non-profitorganisaties en andere entiteiten van openbaar belang in gevaar te brengen. De hackers beloven dat als ze per ongeluk de systemen van een bedrijf uit een van de uitgesloten sectoren versleutelen, ze zouden helpen met de gratis decodering van alle vergrendelde gegevens.