BlackMatter 勒索軟件

似乎在兩個最大的勒索軟件操作決定突然關閉其活動後留下的空白現在開始被該領域的新參與者填補。在這些組織進行了大規模勒索軟件攻擊後，REvil 和 Darkside 停止了運營，這些攻擊顯然引起了太多不必要的關注。 REvil破壞了全球肉類生產商 JBS 和託管網絡服務提供商 Kaseya 的網絡，而Darkside破壞了石油管道運營商 Colonial Pipeline 的運營。

現在，一個名為 BlackMatter 的新型勒索軟件聲稱已經整合了 REvil 和 Darkside 的功能。 Recorded Future 的分析師發現該組織在地下黑客論壇上為自己做廣告。為了繞過論壇最近決定禁止發布涉及 RaaS（勒索軟件即服務）計劃的帖子，BlackMatter 正在尋找"初始訪問經紀人"。這在實踐中意味著，新成立的勒索軟件團伙正在尋求購買對已經受損的企業網絡的訪問權限。

受害者必須符合嚴格的要求

在發布的廣告中，BlackMatter 表示他們只對在四個特定國家（美國、加拿大、澳大利亞和英國）運營的最大企業感興趣。潛在受害者的年收入也必須達到 1 億美元或更高。此外，被破壞的網絡必須有 500 到 15000 台主機。對於符合條件的目標，黑客願意支付最高 100,000 美元以保證其獨占訪問權限。

一旦該組織獲得了對所選公司網絡的訪問權限，它將發布威脅工具，其任務是建立對內部系統的控制。下一步是部署加密威脅以鎖定存儲在受感染設備上的數據。顯然，BlackMatter 已準備好破壞大量不同的系統，包括 Windows、Linux、網絡附加存儲 (NAS) 設備和 VMWare ESXi 5+ 虛擬端點。

暗網上的洩密網站

與大多數當前的勒索軟件團伙一樣，BlackMatter 還精心打造了自己的專用洩密網站，託管在暗網上。根據 Recorded Future 研究人員的說法，該站點目前是空的，這證明了該組織最近才成立。不過，有一些證據對這一假設表示懷疑。新出現的洩漏站點上的一個部分描述了該組織不會針對的實體列表，這與之前 Darkside 站點上可用的內容有著驚人的相似之處。迄今為止，分析師檢測到的 BlackMatter 操作的基礎設施也可能提供與 Darkside 的聯繫，但目前還沒有足夠的結論。

儘管如此，根據其網站，BlackMatter 將積極避免損害醫院、發電廠等關鍵設施、石油和天然氣行業組織、非營利組織以及其他具有公共重要性的實體。黑客承諾，如果他們不小心從被排除的部門之一加密了公司的系統，他們將協助免費解密所有鎖定的數據。