Ha surgido un grupo de ransomware para apuntar a grandes entidades corporativas con ingresos de $ 100 millones o más por año, según analistas de Recorded Future.
Postulado como sucesor de los ahora desaparecidos grupos DarkSide y REvil, BlackMatter se fundó en julio de 2021 y actualmente está en el proceso de reclutar afiliados para su programa de ransomware como servicio (RaaS) a través de anuncios publicados en dos foros de delitos cibernéticos, Exploit. y XSS.
Si bien los anuncios de operaciones de ransomware han sido prohibidos en ambos foros desde mayo de 2021, BlackMatter ha eludido esto publicando anuncios para la contratación de “agentes de acceso inicial”, o aquellos con acceso a redes empresariales pirateadas.
Según los anuncios, el grupo BlackMatter está buscando corredores que puedan ayudarlo a acceder a redes corporativas de alto valor de empresas que tengan tres características: ingresos de $ 100 millones al año o más al año; redes con 500 a 15.000 hosts; y se encuentran en EE. UU., Reino Unido, Canadá o Australia.
El grupo agregó que está dispuesto a pagar entre $ 3,000 y $ 100,000 por el acceso a estas redes, así como una parte de cualquier posible rescate obtenido.
Según Recorded Future, el grupo proporciona ransomware que puede infectar una variedad de versiones y arquitecturas de sistemas operativos, incluidos Windows, Linux, puntos finales virtuales VMWare ESXi 5+ y dispositivos de almacenamiento conectados a la red (NAS).
“El grupo de ransomware BlackMatter parece estar asociado con actores que pueden proporcionar acceso inicial a las organizaciones de víctimas. Han implementado requisitos para estos socios, probablemente para filtrar a los investigadores de seguridad y las fuerzas del orden, especialmente ahora dada la significativa atención de los medios ”, dijo Kimberly Goody, directora de análisis de delitos financieros de Mandiant Threat Intelligence.
“Algunos ejemplos de estos requisitos incluyen tener un perfil más antiguo en el foro con un número mínimo de publicaciones, proporcionar pruebas de trabajos anteriores con otro ransomware o proporcionar confirmación de accesos a al menos dos grandes empresas con ingresos superiores a los 100 millones de dólares”.
Dado que las bandas de ransomware tienden a cambiar su nombre para evadir la aplicación de la ley, los investigadores de seguridad están especulando sobre las conexiones entre BlackMatter y otros grupos, a saber, REvil y DarkSide.
Se cree que los actores detrás del grupo REvil, que estuvo detrás del reciente ataque de alto perfil contra Kaseya a principios de julio, son los mismos actores que están detrás de una antigua cepa de ransomware conocida como GandCrab.
Si bien en un momento algunos investigadores creyeron que REvil se estaba cambiando la marca como DarkSide, que surgió por primera vez en agosto de 2020, ambos continuaron operando uno al lado del otro durante casi un año hasta que este último atacó a Colonial Pipeline en mayo de 2021.
Tanto DarkSide como REvil han desaparecido desde sus respectivos ataques a Colonial Pipeline y Kaseya, aunque no se ha confirmado la razón exacta por la que pasaron a la clandestinidad.
Los investigadores de seguridad han señalado que el sitio Tor de BlackMatter se parece mucho al de DarkSide, señalando el uso de un lenguaje similar y el compromiso declarado de no atacar ciertos objetivos.
Según el sitio de DarkMatter, el grupo se ha comprometido a no atacar a determinados sectores u organizaciones. Esto incluye hospitales, instalaciones de infraestructura crítica como plantas de energía nuclear o plantas de tratamiento de agua, la industria del petróleo y el gas, la industria de defensa, organizaciones sin fines de lucro y el sector público. Añadió: “Si su empresa está en esa lista, puede solicitarnos el descifrado gratuito”.
Sin embargo, aunque actualmente no hay víctimas en el sitio, BleepingComputer ha podido confirmar que hay ataques activos en curso y que al menos una víctima ya ha pagado $ 4 millones a los actores de la amenaza.
BleepingComputer informó más tarde que había encontrado un descifrador de una víctima de BlackMatter, cuyo análisis mostró que estaba usando los mismos métodos de cifrado únicos que DarkSide ha estado usando.
El científico de McAfee Christiaan Beek también cargó una copia del ransomware BlackMatter al MalwareBazaarDatabase del sitio de rastreo de delitos cibernéticos Abuse.ch. Habiendo examinado el código, otras firmas de seguridad han verificado que las similitudes sugieren fuertemente que BlackMatter es un cambio de marca de DarkSide.
“Hemos visto alguna indicación que actualmente sugiere que al menos un actor conectado a algunas operaciones de ransomware DarkSide se está alineando con BlackMatter. Esto no es necesariamente sorprendente, ya que comúnmente vemos afiliados de ransomware que se asocian con múltiples proveedores ”, dijo Goody.