BlackMatter Ransomware

Det verkar som att tomrummet kvar efter att två av de största lösningarna på ransomware beslutat att stänga av sina aktiviteter plötsligt nu börjar fyllas av nya spelare inom fält. REvil och Darkside upphörde med verksamheten efter att grupperna utförde massiva ransomware-attacker som uppenbarligen väckte för mycket oönskad uppmärksamhet. REvil komprometterade nätverken för den globala köttproducenten JBS och den hanterade nätverksleverantören Kaseya, medan Darkside störde oljeledningsoperatörens Colonial Pipeline.

Nu hävdar en ny ransomware-outfit med namnet BlackMatter att ha införlivat funktionerna hos både REvil och Darkside. Analytikerna på Recorded Future upptäckte att gruppen annonserade sig på underjordiska hackerforum. För att kringgå det senaste beslutet från forumen att förbjuda inlägg som handlar om RaaS (Ransomware-as-a-Service) -program, söker BlackMatter istället efter "initial access-mäklare." Vad detta betyder i praktiken är att det nyetablerade ransomware-gänget vill köpa tillgång till redan komprometterade företagsnätverk.

Offer måste uppfylla strikta krav

I de publicerade annonserna uppger BlackMatter att de bara är intresserade av de största företagen som verkar i fyra specifika länder - USA, Kanada, Australien och Storbritannien. De potentiella offren måste också ha en årlig intäkt på 100 miljoner dollar eller högre. Dessutom måste de trasiga nätverken ha mellan 500 och 15 tusen värdar. För mål som uppfyller kriterierna är hackarna villiga att betala upp till $ 100 000 för att garantera deras exklusiva tillgång.

När gruppen har fått tillgång till det valda företagsnätverket kommer den att släppa hotfulla verktyg som har till uppgift att skapa kontroll över de interna systemen. Nästa steg är att distribuera krypteringshot för att låsa data som lagras på de infekterade enheterna. BlackMatter är tydligen redo att kompromissa med en stor uppsättning olika system inklusive Windows, Linux, nätverksanslutna lagringsenheter (NAS) och VMWare ESXi 5+ virtuella slutpunkter.

Läcksida på det mörka nätet

Precis som de flesta nuvarande ransomware-gäng har BlackMatter också skapat sin egen dedikerade läcksida som är värd på Dark Web. Enligt Recorded Future-forskarna är webbplatsen tom för tillfället, ett bevis på att gruppen bildades först nyligen. Det finns dock vissa bevis som tvivlar på detta antagande. Ett avsnitt om den nyligen framtagna läcksidan som beskriver en lista över enheter som inte kommer att riktas mot gruppen har en slående likhet med vad som fanns tillgängligt på Darksides webbplats tidigare. Infrastrukturen för BlackMatter-operationen som hittills har upptäckts av analytiker kan också ge en anslutning till Darkside, men för närvarande är ingenting tillräckligt avgörande.

Enligt sin webbplats kommer BlackMatter ändå att aktivt undvika att kompromissa med sjukhus, kritiska anläggningar som kraftverk, olje- och gasindustriorganisationer, ideella organisationer och andra enheter av allmän betydelse. Hackarna lovar att om de av misstag krypterar ett företags system från en av de uteslutna sektorerna, skulle de då hjälpa till med gratis dekryptering av alla låsta data.