说明:
BlackMatter勒索病毒是一款基于RAAS模式的新型勒索病毒,该勒索病毒黑客组织对外宣称,已经整合了DarkSide、REvil和LockBit等勒索病毒的最佳功能特点。
一个名为BlackMatter的新勒索软件团伙正在购买企业网络的访问权限,该勒索病毒黑客组织对外宣称,已经整合了DarkSide、REvil和LockBit等勒索病毒的最佳功能特点。
上周,Recorded Future和安全研究人员pancak3都分享了一个名为“BlackMatter”的新威胁行为者在黑客论坛上发布的信息,证实这些威胁行为者想在那里购买对企业网络的访问权。
BlackMatter 发布到 Exploit 论坛的论坛帖子
在帖子中,威胁行为者表示,他们希望购买美国、加拿大、澳大利亚和英国的网络访问权限,但与医疗和政府实体相关的网络除外。
他们进一步说,他们愿意为每个满足以下条件的网络花费3,000到100,000美元:
◼收入超过1亿美元。
◼网络应包含500-15,000个主机。
◼它应该是其他威胁行为者尚未针对的新网络。
为了表明他们发布帖子的可靠性,威胁行为者在Exile黑客论坛的加密货币钱包中存入了四个比特币(价值120,000美元),以表明他们是认真的。
由于XSS和漏洞利用论坛现在禁止宣传勒索软件的论坛,威胁行为者没有说明他们将如何使用网络访问。
就在同一天,来自Recorded Future的研究人员透露,上周暗网上出现了一个新的Tor数据泄漏站点,用于“BlackMatter”勒索软件操作。
该名称表明BlackMatter威胁参与者是该勒索软件以同一名称运行的面向公众的代表。
新的 BlackMatter 数据泄露站点
除了发布有关其运营的信息外,BlackMatter声明他们不会针对以下行业的实体:
◼医院。
◼关键基础设施(核电站、发电厂、水处理设施)。
◼石油和天然气工业(管道、炼油厂)。
◼国防工业。
◼非盈利公司。
◼政府部门。
Recorded Future表示,该团伙的勒索软件可执行文件有多种格式,因此它们可以加密不同的操作系统和设备架构。
Recorded Future报道称:“该勒索软件适用于多种不同的操作系统版本和架构,并以多种格式交付,包括支持SafeMode的Windows 变体(EXE / Reflective DLL / PowerShell)和支持NAS的Linux变体:Synology、OpenMediaVault、FreeNAS(TrueNAS)。”
“据BlackMatter称,Windows勒索软件变体在Windows Server 2003+ x86/x64和Windows 7+ x64 / x86上成功测试。Linux勒索软件变体在ESXI 5+、Ubuntu、Debian 和 CentOs上成功测试。Linux支持的文件系统包括VMFS、VFFS、NFS、VSAN。”
目前,网站上没有列出受害者。但是,该勒索软件团伙表示“目前所有的伯克都被隐藏了”,这表明他们正在积极攻击受害者。
BleepingComputer已经能够确认有活跃的攻击正在进行,并且至少一名受害者在本周内向威胁参与者支付了400万美元。
BlackMatter Tor 谈判网站
根据谈判聊天的情况我们了解到,这是一次资深的勒索软件团伙的操作,很可能是最近关闭的较大的且现已解散的组织,只是换了一个名字而已。
安全研究人员发现的信息以及网站和合作伙伴中的相似之处可能表明BlackMatter可能是由之前参与过DarkSide和REvil勒索软件操作的威胁行为者创建的。
由于勒索软件团伙通常会更名以逃避执法,当我们于2020年8月首次报道DarkSide时,一些安全研究人员和执法部门认为REvil正在更名为新的DarkSide行动。
然而,这两个帮派继续并肩作战了将近一年,直到DarkSide袭击了Colonial Pipeline。迫于美国政府和执法部门的全面压力,DarkSide于5月关闭了其业务。
DarkSide的关闭首先是由REvil面向公众的代表Unknown报道的,Unknown在一个黑客论坛上发布了有关它的信息。
UKNK 关于 DarkSide 缉获的论坛帖子
两个月后,REvil通过0 day Kaseya VSA漏洞对全球托管服务提供商进行大规模攻击,随后就关闭了。
与DarkSide一样,REvil也感受到了来自美国政府和国际执法部门的巨大压力。外界普遍猜测是俄罗斯政府让他们关闭并消失一段时间。
在看到BlackMatter Tor站点后,安全研究人员发现它与现已解散的DarkSide勒索软件的Tor站点非常相似。
两个网络页面都有相似的颜色主题、相似的语言、相似的自我介绍方式,以及一个相似的声称不会攻击的目标列表。
Recorded Future还报道称,BlackMatter表示“该项目融合了DarkSide、REvil和LockBit的最佳功能。”
最后,网络安全公司Mandiant看到的迹象表明,以前与DarkSide有联系的威胁行为者现在正在与BlackMatter合作。
Mandiant金融犯罪分析主管Kimberly Goody告诉BleepingComputer:“我们已经看到一些迹象表明,目前至少有一名与某些DARKSIDE勒索软件操作有关的参与者正在与BLACKMATTER结盟。”
“这不是什么令人惊讶的事情,因为我们经常看到勒索软件附属公司与多个提供商合作。”
虽然许多线索表明这可能是DarkSide的翻版,或者可能是由两个团体的威胁行为者创建的,但在对勒索软件样本进行代码相似性分析之前,我们无法确定。
由于BlackMatter攻击正在进行,研究人员可能很快就会找到样本。