BlackMatter勒索軟件團伙崛起
發(fā)布時(shí)間:2021-08-11 12:02
來(lái)源:嘶吼網(wǎng)
閱讀:0
作者:我們會(huì )有自己的貓
欄目: 網(wǎng)絡(luò )安全
一個(gè)名為BlackMatter的新勒索軟件團伙正在購買(mǎi)企業(yè)網(wǎng)絡(luò )的訪(fǎng)問(wèn)權限����,該勒索病毒黑客組織對外宣稱(chēng)�,已經(jīng)整合了DarkSide�、REvil和LockBit等勒索病毒的最佳功能特點(diǎn)��。
上周��,Recorded Future和安全研究人員pancak3都分享了一個(gè)名為“BlackMatter”的新威脅行為者在黑客論壇上發(fā)布的信息,證實(shí)這些威脅行為者想在那里購買(mǎi)對企業(yè)網(wǎng)絡(luò )的訪(fǎng)問(wèn)權�。
BlackMatter 發(fā)布到 Exploit 論壇的論壇帖子
在帖子中����,威脅行為者表示�,他們希望購買(mǎi)美國��、加拿大�����、澳大利亞和英國的網(wǎng)絡(luò )訪(fǎng)問(wèn)權限�����,但與醫療和政府實(shí)體相關(guān)的網(wǎng)絡(luò )除外�。
他們進(jìn)一步說(shuō)����,他們愿意為每個(gè)滿(mǎn)足以下條件的網(wǎng)絡(luò )花費3,000到100,000美元:
- 收入超過(guò)1億美元�����。
- 網(wǎng)絡(luò )應包含500-15,000個(gè)主機�����。
- 它應該是其他威脅行為者尚未針對的新網(wǎng)絡(luò )���。
為了表明他們發(fā)布帖子的可靠性�����,威脅行為者在Exile黑客論壇的加密貨幣錢(qián)包中存入了四個(gè)比特幣(價(jià)值120,000美元)�,以表明他們是認真的����。
由于XSS和漏洞利用論壇現在禁止宣傳勒索軟件的論壇�����,威脅行為者沒(méi)有說(shuō)明他們將如何使用網(wǎng)絡(luò )訪(fǎng)問(wèn)��。
BlackMatter勒索軟件團伙出現
就在同一天����,來(lái)自Recorded Future的研究人員透露��,上周暗網(wǎng)上出現了一個(gè)新的Tor數據泄漏站點(diǎn)��,用于“BlackMatter”勒索軟件操作��。
該名稱(chēng)表明BlackMatter威脅參與者是該勒索軟件以同一名稱(chēng)運行的面向公眾的代表��。
新的 BlackMatter 數據泄露站點(diǎn)
除了發(fā)布有關(guān)其運營(yíng)的信息外����,BlackMatter聲明他們不會(huì )針對以下行業(yè)的實(shí)體:
- 醫院
- 關(guān)鍵基礎設施(核電站�����、發(fā)電廠(chǎng)�、水處理設施)
- 石油和天然氣工業(yè)(管道��、煉油廠(chǎng))
- 國防工業(yè)
- 非盈利公司
- 政府部門(mén)
Recorded Future表示�����,該團伙的勒索軟件可執行文件有多種格式���,因此它們可以加密不同的操作系統和設備架構���。
Recorded Future報道稱(chēng):“該勒索軟件適用于多種不同的操作系統版本和架構�����,并以多種格式交付����,包括支持SafeMode的Windows 變體(EXE / Reflective DLL / PowerShell)和支持NAS的Linux變體:Synology�����、OpenMediaVault����、FreeNAS(TrueNAS)�。”
“據BlackMatter稱(chēng)����,Windows勒索軟件變體在Windows Server 2003+ x86/x64和Windows 7+ x64 / x86上成功測試����。Linux勒索軟件變體在ESXI 5+�、Ubuntu�����、Debian 和 CentOs上成功測試��。Linux支持的文件系統包括VMFS�����、VFFS��、NFS����、VSAN���。”
目前����,網(wǎng)站上沒(méi)有列出受害者�。但是����,該勒索軟件團伙表示“目前所有的伯克都被隱藏了”�,這表明他們正在積極攻擊受害者�。
BleepingComputer已經(jīng)能夠確認有活躍的攻擊正在進(jìn)行�,并且至少一名受害者在本周內向威脅參與者支付了400萬(wàn)美元��。
BlackMatter Tor 談判網(wǎng)站
根據談判聊天的情況我們了解到���,這是一次資深的勒索軟件團伙的操作����,很可能是最近關(guān)閉的較大的且現已解散的組織�,只是換了一個(gè)名字而已���。
從DarkSide和REvil的余燼中崛起?
安全研究人員發(fā)現的信息以及網(wǎng)站和合作伙伴中的相似之處可能表明BlackMatter可能是由之前參與過(guò)DarkSide和REvil勒索軟件操作的威脅行為者創(chuàng )建的�。
由于勒索軟件團伙通常會(huì )更名以逃避執法����,當我們于2020年8月首次報道DarkSide時(shí)�,一些安全研究人員和執法部門(mén)認為REvil正在更名為新的DarkSide行動(dòng)�����。
然而���,這兩個(gè)幫派繼續并肩作戰了將近一年���,直到DarkSide襲擊了Colonial Pipeline���。迫于美國政府和執法部門(mén)的全面壓力�,DarkSide于5月關(guān)閉了其業(yè)務(wù)����。
DarkSide的關(guān)閉首先是由REvil面向公眾的代表Unknown報道的�,Unknown在一個(gè)黑客論壇上發(fā)布了有關(guān)它的信息�。
UKNK 關(guān)于 DarkSide 緝獲的論壇帖子
兩個(gè)月后��,REvil通過(guò)0 day Kaseya VSA漏洞對全球托管服務(wù)提供商進(jìn)行大規模攻擊��,隨后就關(guān)閉了��。
與DarkSide一樣���,REvil也感受到了來(lái)自美國政府和國際執法部門(mén)的巨大壓力��。外界普遍猜測是俄羅斯政府讓他們關(guān)閉并消失一段時(shí)間�����。
在看到BlackMatter Tor站點(diǎn)后�����,安全研究人員發(fā)現它與現已解散的DarkSide勒索軟件的Tor站點(diǎn)非常相似���。
兩個(gè)網(wǎng)絡(luò )頁(yè)面都有相似的顏色主題���、相似的語(yǔ)言����、相似的自我介紹方式�����,以及一個(gè)相似的聲稱(chēng)不會(huì )攻擊的目標列表���。
Recorded Future還報道稱(chēng)����,BlackMatter表示“該項目融合了DarkSide���、REvil和LockBit的最佳功能���。”
最后���,網(wǎng)絡(luò )安全公司Mandiant看到的跡象表明�����,以前與DarkSide有聯(lián)系的威脅行為者現在正在與BlackMatter合作��。
Mandiant金融犯罪分析主管Kimberly Goody告訴BleepingComputer:“我們已經(jīng)看到一些跡象表明�,目前至少有一名與某些DARKSIDE勒索軟件操作有關(guān)的參與者正在與BLACKMATTER結盟�����。”
“這不是什么令人驚訝的事情��,因為我們經(jīng)?���?吹嚼账鬈浖綄俟九c多個(gè)提供商合作��。”
雖然許多線(xiàn)索表明這可能是DarkSide的翻版���,或者可能是由兩個(gè)團體的威脅行為者創(chuàng )建的�,但在對勒索軟件樣本進(jìn)行代碼相似性分析之前����,我們無(wú)法確定���。
由于BlackMatter攻擊正在進(jìn)行����,研究人員可能很快就會(huì )找到樣本��。
本文翻譯自:
https://www.bleepingcomputer.com/news/security/blackmatter-ransomware-gang-rises-from-the-ashes-of-darkside-revil/?__cf_chl_jschl_tk__=pmd_83bb198169f204a8310e5540bfc04f71bc8737ad-1628004121-0-gqNtZGzNAjijcnBszQ46
