Программа-вымогатель BlackMatter

Кажется, что пустота, оставшаяся после того, как две крупнейшие операции с программами-вымогателями внезапно прекратили свою деятельность, теперь начинает заполняться новыми игроками в полях. REvil и Darkside прекратили свою деятельность после того, как группы осуществили массовые атаки программ-вымогателей, которые, по-видимому, привлекли слишком много нежелательного внимания. REvil скомпрометировал сети глобального производителя мяса JBS и поставщика управляемых сетевых услуг Kaseya, в то время как Darkside нарушил работу оператора нефтепровода Colonial Pipeline.

Теперь новая команда вымогателей под названием BlackMatter утверждает, что вобрала в себя возможности как REvil, так и Darkside. Аналитики Recorded Future обнаружили, что группа рекламирует себя на подпольных хакерских форумах. Чтобы обойти недавнее решение форумов о запрете публикаций, касающихся схем RaaS (Ransomware-as-a-Service), BlackMatter вместо этого ищет «брокеров первичного доступа». На практике это означает, что недавно созданная банда вымогателей пытается купить доступ к уже взломанным корпоративным сетям.

Жертвы должны соответствовать строгим требованиям

В размещенных рекламных объявлениях BlackMatter заявляют, что им интересны только крупнейшие предприятия, работающие в четырех конкретных странах - США, Канаде, Австралии и Великобритании. Потенциальные жертвы также должны иметь годовой доход в размере 100 миллионов долларов или выше. Кроме того, в взломанных сетях должно быть от 500 до 15 тысяч хостов. Для целей, соответствующих критериям, хакеры готовы заплатить до 100 000 долларов, чтобы гарантировать себе эксклюзивный доступ.

Как только группа получит доступ к выбранной корпоративной сети, она выпустит угрожающие инструменты, которым поручено установить контроль над внутренними системами. Следующим шагом является развертывание угроз шифрования для блокировки данных, хранящихся на зараженных устройствах. BlackMatter, по-видимому, готов скомпрометировать большой набор различных систем, включая Windows, Linux, устройства сетевого хранения (NAS) и виртуальные конечные точки VMWare ESXi 5+.

Сайт утечки в темной сети

Как и большинство современных банд вымогателей, BlackMatter также создал свой собственный сайт утечек, размещенный в Dark Web. По словам исследователей Recorded Future, на данный момент сайт пуст, что свидетельствует о группе, сформировавшейся совсем недавно. Однако есть некоторые свидетельства, ставящие под сомнение это предположение. Раздел на недавно появившемся сайте утечки, который описывает список сущностей, которые не будут нацелены на группу, имеет поразительное сходство с тем, что было доступно на сайте Darkside ранее. Инфраструктура операции BlackMatter, которая была обнаружена аналитиками до сих пор, также может обеспечивать подключение к Darkside, но на данный момент ничего не является достаточно убедительным.

Тем не менее, согласно его сайту, BlackMatter будет активно избегать взлома больниц, важных объектов, таких как электростанции, организации нефтегазовой отрасли, некоммерческие организации и другие организации, имеющие общественное значение. Хакеры обещают, что если они случайно зашифруют системы компании из одного из исключенных секторов, они помогут бесплатно расшифровать все заблокированные данные.