BlackMatter勒索軟件團伙崛起
一個名為BlackMatter的新勒索軟件團伙正在購買企業網絡的訪問權限,該勒索病毒黑客組織對外宣稱,已經整合了DarkSide、REvil和LockBit等勒索病毒的最佳功能特點。
上周,Recorded Future和安全研究人員pancak3都分享了一個名為“BlackMatter”的新威脅行為者在黑客論壇上發布的信息,證實這些威脅行為者想在那里購買對企業網絡的訪問權。
BlackMatter 發布到 Exploit 論壇的論壇帖子
在帖子中,威脅行為者表示,他們希望購買美國、加拿大、澳大利亞和英國的網絡訪問權限,但與醫療和政府實體相關的網絡除外。
他們進一步說,他們愿意為每個滿足以下條件的網絡花費3,000到100,000美元:
- 收入超過1億美元。
- 網絡應包含500-15,000個主機。
- 它應該是其他威脅行為者尚未針對的新網絡。
為了表明他們發布帖子的可靠性,威脅行為者在Exile黑客論壇的加密貨幣錢包中存入了四個比特幣(價值120,000美元),以表明他們是認真的。
由于XSS和漏洞利用論壇現在禁止宣傳勒索軟件的論壇,威脅行為者沒有說明他們將如何使用網絡訪問。
BlackMatter勒索軟件團伙出現
就在同一天,來自Recorded Future的研究人員透露,上周暗網上出現了一個新的Tor數據泄漏站點,用于“BlackMatter”勒索軟件操作。
該名稱表明BlackMatter威脅參與者是該勒索軟件以同一名稱運行的面向公眾的代表。
新的 BlackMatter 數據泄露站點
除了發布有關其運營的信息外,BlackMatter聲明他們不會針對以下行業的實體:
- 醫院
- 關鍵基礎設施(核電站、發電廠、水處理設施)
- 石油和天然氣工業(管道、煉油廠)
- 國防工業
- 非盈利公司
- 政府部門
Recorded Future表示,該團伙的勒索軟件可執行文件有多種格式,因此它們可以加密不同的操作系統和設備架構。
Recorded Future報道稱:“該勒索軟件適用于多種不同的操作系統版本和架構,并以多種格式交付,包括支持SafeMode的Windows 變體(EXE / Reflective DLL / PowerShell)和支持NAS的Linux變體:Synology、OpenMediaVault、FreeNAS(TrueNAS)。”
“據BlackMatter稱,Windows勒索軟件變體在Windows Server 2003+ x86/x64和Windows 7+ x64 / x86上成功測試。Linux勒索軟件變體在ESXI 5+、Ubuntu、Debian 和 CentOs上成功測試。Linux支持的文件系統包括VMFS、VFFS、NFS、VSAN。”
目前,網站上沒有列出受害者。但是,該勒索軟件團伙表示“目前所有的伯克都被隱藏了”,這表明他們正在積極攻擊受害者。
BleepingComputer已經能夠確認有活躍的攻擊正在進行,并且至少一名受害者在本周內向威脅參與者支付了400萬美元。
BlackMatter Tor 談判網站
根據談判聊天的情況我們了解到,這是一次資深的勒索軟件團伙的操作,很可能是最近關閉的較大的且現已解散的組織,只是換了一個名字而已。
從DarkSide和REvil的余燼中崛起?
安全研究人員發現的信息以及網站和合作伙伴中的相似之處可能表明BlackMatter可能是由之前參與過DarkSide和REvil勒索軟件操作的威脅行為者創建的。
由于勒索軟件團伙通常會更名以逃避執法,當我們于2020年8月首次報道DarkSide時,一些安全研究人員和執法部門認為REvil正在更名為新的DarkSide行動。
然而,這兩個幫派繼續并肩作戰了將近一年,直到DarkSide襲擊了Colonial Pipeline。迫于美國政府和執法部門的全面壓力,DarkSide于5月關閉了其業務。
DarkSide的關閉首先是由REvil面向公眾的代表Unknown報道的,Unknown在一個黑客論壇上發布了有關它的信息。
UKNK 關于 DarkSide 緝獲的論壇帖子
兩個月后,REvil通過0 day Kaseya VSA漏洞對全球托管服務提供商進行大規模攻擊,隨后就關閉了。
與DarkSide一樣,REvil也感受到了來自美國政府和國際執法部門的巨大壓力。外界普遍猜測是俄羅斯政府讓他們關閉并消失一段時間。
在看到BlackMatter Tor站點后,安全研究人員發現它與現已解散的DarkSide勒索軟件的Tor站點非常相似。
兩個網絡頁面都有相似的顏色主題、相似的語言、相似的自我介紹方式,以及一個相似的聲稱不會攻擊的目標列表。
Recorded Future還報道稱,BlackMatter表示“該項目融合了DarkSide、REvil和LockBit的最佳功能。”
最后,網絡安全公司Mandiant看到的跡象表明,以前與DarkSide有聯系的威脅行為者現在正在與BlackMatter合作。
Mandiant金融犯罪分析主管Kimberly Goody告訴BleepingComputer:“我們已經看到一些跡象表明,目前至少有一名與某些DARKSIDE勒索軟件操作有關的參與者正在與BLACKMATTER結盟。”
“這不是什么令人驚訝的事情,因為我們經常看到勒索軟件附屬公司與多個提供商合作。”
雖然許多線索表明這可能是DarkSide的翻版,或者可能是由兩個團體的威脅行為者創建的,但在對勒索軟件樣本進行代碼相似性分析之前,我們無法確定。
由于BlackMatter攻擊正在進行,研究人員可能很快就會找到樣本。
本文翻譯自:
https://www.bleepingcomputer.com/news/security/blackmatter-ransomware-gang-rises-from-the-ashes-of-darkside-revil/?__cf_chl_jschl_tk__=pmd_83bb198169f204a8310e5540bfc04f71bc8737ad-1628004121-0-gqNtZGzNAjijcnBszQ46
