BlackMatter Ransomware
Parece que o vazio deixado depois que duas das maiores operações de ransomware decidiram encerrar suas atividades repentinamente está agora começando a ser preenchido por novos jogadores. O REvil e Darkside interromperam suas operações depois que os grupos realizaram ataques de ransomware massivos que, aparentemente, atraíram muita atenção indesejada. O REvil comprometeu as redes da produtora global de carnes JBS e da provedora de serviços de rede gerenciada Kaseya, enquanto o Darkside interrompeu as operações da operadora de oleoduto Colonial Pipeline.
Agora, um novo equipamento de ransomware chamado BlackMatter afirma ter incorporado os recursos do REvil e do Darkside. Os analistas da Recorded Future descobriram o grupo se anunciando em fóruns de hackers clandestinos. Para contornar a recente decisão dos fóruns de banir postagens que lidam com esquemas RaaS (Ransomware-as-a-Service), o BlackMatter está procurando por 'corretores de acesso inicial'. O que isso significa na prática é que a gangue de ransomware recém-criada está procurando comprar acesso a redes corporativas já comprometidas.
As Vítimas devem Cumprir Requisitos Estritos
Nos anúncios postados, o BlackMatter afirma que está interessado apenas nas maiores empresas que operam em quatro países específicos - EUA, Canadá, Austrália e Reino Unido. As vítimas em potencial também devem ter uma receita anual de US $100 milhões ou mais. Além disso, as redes violadas devem ter entre 500 e 15 mil hosts. Para alvos que atendam aos critérios, os hackers estão dispostos a pagar até US $100.000 para garantir seu acesso exclusivo.
Assim que o grupo obtiver acesso à rede corporativa escolhida, ele lançará ferramentas ameaçadoras encarregadas de estabelecer o controle sobre os sistemas internos. A próxima etapa é implantar ameaças de criptografia para bloquear os dados armazenados nos dispositivos infectados. A BlackMatter, aparentemente, está pronta para comprometer um grande conjunto de sistemas diferentes, incluindo Windows, Linux, dispositivos de armazenamento conectado à rede (NAS) e terminais virtuais VMWare ESXi 5+.
Site de Vazamento na Dark Web
Exatamente como a maioria das gangues de ransomware atuais, o BlackMatter também criou seu próprio site dedicado a vazamentos hospedado na Dark Web. De acordo com os pesquisadores do Recorded Future, o local está vazio no momento, uma prova da formação do grupo recentemente. No entanto, há algumas evidências que lançam dúvidas sobre essa suposição. Uma seção sobre o site do vazamento recém-surgido que descreve uma lista de entidades que não serão visadas pelo grupo tem uma semelhança impressionante com o que estava disponível no site do Darkside anteriormente. A infraestrutura da operação BlackMatter que foi detectada por analistas até agora também pode fornecer uma conexão para o Darkside, mas no momento nada é conclusivo o suficiente.
Ainda assim, de acordo com seu site, o BlackMatter evitará ativamente o comprometimento de hospitais, instalações críticas, como usinas de energia, organizações da indústria de petróleo e gás, organizações sem fins lucrativos e outras entidades de importância pública. Os hackers prometem que, se por acidente criptografarem os sistemas de uma empresa de um dos setores excluídos, eles auxiliarão na descriptografia gratuita de todos os dados bloqueados.
