Threat Database Ransomware BlackMatter Ransomware

BlackMatter Ransomware

Wygląda na to, że pustka, która pozostała po dwóch największych operacjach ransomware, które nagle postanowiły zamknąć swoją działalność, zaczyna teraz wypełniać nowymi graczami na polach. REvil i Darkside zaprzestały działalności po tym, jak grupy przeprowadziły masowe ataki ransomware, które najwyraźniej przyciągnęły zbyt wiele niechcianej uwagi. REvil skompromitował sieci globalnego producenta mięsa JBS i zarządzanego dostawcy usług sieciowych Kaseya, podczas gdy Darkside zakłócił działalność operatora rurociągów naftowych Colonial Pipeline.

Teraz nowy ransomware o nazwie BlackMatter twierdzi, że zawiera możliwości zarówno REvil, jak i Darkside. Analitycy Recorded Future odkryli, że grupa reklamuje się na podziemnych forach hakerskich. Aby ominąć niedawną decyzję forów o zakazie postów dotyczących systemów RaaS (Ransomware-as-a-Service), BlackMatter zamiast tego szuka „brokerów początkowego dostępu". W praktyce oznacza to, że nowo założony gang oprogramowania ransomware chce kupić dostęp do już zaatakowanych sieci korporacyjnych.

Ofiary muszą spełniać surowe wymagania

W zamieszczonych ogłoszeniach firma BlackMatter podaje, że interesują ją tylko największe przedsiębiorstwa działające w czterech konkretnych krajach – USA, Kanadzie, Australii i Wielkiej Brytanii. Potencjalne ofiary muszą również mieć roczne przychody w wysokości 100 milionów dolarów lub więcej. Ponadto naruszone sieci muszą mieć od 500 do 15 tysięcy hostów. W przypadku celów spełniających kryteria hakerzy są gotowi zapłacić do 100 000 dolarów, aby zagwarantować sobie wyłączny dostęp.

Gdy grupa uzyska dostęp do wybranej sieci korporacyjnej, wyda groźne narzędzia, których zadaniem jest ustanowienie kontroli nad systemami wewnętrznymi. Następnym krokiem jest wdrożenie zagrożeń szyfrujących w celu zablokowania danych przechowywanych na zainfekowanych urządzeniach. Najwyraźniej BlackMatter jest gotowy do skompromitowania dużego zestawu różnych systemów, w tym Windows, Linux, urządzeń sieciowej pamięci masowej (NAS) i wirtualnych punktów końcowych VMWare ESXi 5+.

Wyciek witryny w ciemnej sieci

Dokładnie tak, jak większość obecnych gangów ransomware, BlackMatter stworzył również własną, dedykowaną witrynę wycieków hostowaną w Dark Web. Według badaczy Recorded Future, strona jest obecnie pusta, co świadczy o uformowaniu się dopiero niedawno grupy. Istnieją jednak pewne dowody podważające to założenie. Sekcja na nowo powstałej stronie z przeciekami, która opisuje listę podmiotów, które nie będą celem grupy, jest uderzająco podobna do tego, co było wcześniej dostępne na stronie Darkside. Infrastruktura operacji BlackMatter, którą do tej pory wykryli analitycy, również może zapewniać połączenie z Darkside, ale w tej chwili nic nie jest wystarczająco przekonujące.

Mimo to, zgodnie ze swoją stroną, BlackMatter będzie aktywnie unikać narażania szpitali, krytycznych obiektów, takich jak elektrownie, organizacje przemysłu naftowego i gazowego, organizacje non-profit i inne podmioty o znaczeniu publicznym. Hakerzy obiecują, że gdyby przypadkiem zaszyfrowali systemy firmy z jednego z wykluczonych sektorów, pomogliby w darmowym odszyfrowaniu wszystkich zablokowanych danych.

powiązane posty

Popularne

Najczęściej oglądane

Ładowanie...