BlackMatter Ransomware

En büyük fidye yazılımı operasyonlarından ikisinin faaliyetlerini aniden durdurma kararından sonra kalan boşluk, şimdi sahalardaki yeni oyuncular tarafından doldurulmaya başlıyor gibi görünüyor. REvil ve Darkside, gruplar, görünüşe göre çok fazla istenmeyen ilgi çeken büyük fidye yazılımı saldırıları gerçekleştirdikten sonra operasyonları durdurdu. REvil, küresel et üreticisi JBS ve yönetilen ağ hizmetleri sağlayıcısı Kaseya'nın ağlarını tehlikeye atarken, Darkside petrol boru hattı operatörü Colonial Pipeline'ın operasyonlarını kesintiye uğrattı.

Şimdi, BlackMatter adlı yeni bir fidye yazılımı ekibi, hem REvil hem de Darkside'ın yeteneklerini birleştirdiğini iddia ediyor. Recorded Future'daki analistler, grubun yeraltı hacker forumlarında reklamını yaptığını keşfetti. Forumların, RaaS (Hizmet olarak Fidye Yazılımı) şemalarıyla ilgili gönderileri yasaklama kararını atlatmak için, BlackMatter bunun yerine 'ilk erişim aracıları' arıyor. Bunun pratikte anlamı, yeni kurulan fidye yazılımı çetesinin zaten güvenliği ihlal edilmiş kurumsal ağlara erişim satın almak istediğidir.

Mağdurlar Sıkı Gereksinimleri Karşılamalı

Yayınlanan reklamlarda BlackMatter, yalnızca ABD, Kanada, Avustralya ve Birleşik Krallık olmak üzere dört belirli ülkede faaliyet gösteren en büyük işletmelerle ilgilendiklerini belirtiyor. Potansiyel mağdurların ayrıca yıllık 100 milyon dolar veya daha fazla geliri olması gerekir. Ayrıca, ihlal edilen ağların 500 ila 15 bin arasında ana bilgisayara sahip olması gerekir. Kriterleri karşılayan hedefler için bilgisayar korsanları, özel erişimlerini garanti altına almak için 100.000 dolara kadar ödemeye hazırlar.

Grup, seçilen şirket ağına erişim elde ettiğinde, iç sistemler üzerinde kontrol sağlamakla görevli tehdit edici araçları serbest bırakacaktır. Sonraki adım, virüslü cihazlarda depolanan verileri kilitlemek için şifreleme tehditleri dağıtmaktır. Görünüşe göre BlackMatter, Windows, Linux, ağa bağlı depolama (NAS) cihazları ve VMWare ESXi 5+ sanal uç noktaları dahil olmak üzere çok sayıda farklı sistemden ödün vermeye hazır.

Dark Web'de Sızdıran Site

Mevcut çoğu fidye yazılımı çetesi gibi, BlackMatter da Dark Web'de barındırılan kendi özel sızıntı sitesini oluşturdu. Kaydedilmiş Gelecek araştırmacılarına göre, site şu anda boş, bu da grubun daha yeni oluştuğunun bir kanıtı. Yine de bu varsayım hakkında şüphe uyandıran bazı kanıtlar var. Yeni ortaya çıkan sızıntı sitesinde, grup tarafından hedef alınmayacak varlıkların bir listesini açıklayan bir bölüm, Darkside'ın sitesinde daha önce mevcut olanla çarpıcı bir benzerlik taşıyor. Şimdiye kadar analistler tarafından tespit edilen BlackMatter operasyonunun altyapısı da Darkside ile bağlantı sağlayabilir, ancak şu anda hiçbir şey yeterince kesin değil.

Yine de, sitesine göre BlackMatter, hastanelerden, enerji santralleri gibi kritik tesislerden, petrol ve gaz endüstrisi kuruluşlarından, kar amacı gütmeyen kuruluşlardan ve kamu önemi olan diğer kuruluşlardan taviz vermekten aktif olarak kaçınacaktır. Bilgisayar korsanları, yanlışlıkla bir şirketin sistemlerini hariç tutulan sektörlerden birinden şifrelerlerse, tüm kilitli verilerin ücretsiz şifresinin çözülmesine yardımcı olacaklarına söz veriyorlar.