BlackMatter勒索软件团伙崛起

一个名为BlackMatter的新勒索软件团伙正在购买企业网络的访问权限。勒索软件黑客组织声称已经集成了DarkSide、REvil和LockBit等勒索软件的最佳功能。上周，RecordedFuture和安全研究员pancak3都分享了一个名为“BlackMatter”的新威胁行为者在黑客论坛上发布的信息，他们确认威胁行为者想要购买对公司网络的访问权限。在BlackMatter发布到Exploit论坛的论坛帖子中，威胁行为者表示他们正在寻求购买美国、加拿大、澳大利亚和英国网络的访问权限，不包括与医疗和政府实体相关的网络。他们进一步表示，他们愿意为每个具有以下特征的网络花费3,000到100,000美元：超过1亿美元的收入。该网络应包含500-15,000台主机。它应该是一个尚未成为其他威胁行为者目标的新网络。为了证明他们帖子的可靠性，威胁者将四个比特币（价值120,000美元）存入Exile黑客论坛的一个加密货币钱包中，以表明他们是认真的。由于XSS和漏洞利用论坛现在禁止宣传勒索软件的论坛，威胁参与者尚未说明他们将如何使用Web访问。BlackMatter勒索软件团伙出现的同一天，RecordedFuture的研究人员透露，上周暗网上出现了一个针对“BlackMatter”勒索软件操作的新Tor数据泄露站点。顾名思义，BlackMatter威胁参与者是以相同名称运行的勒索软件的面向公众的代表。新的BlackMatter数据泄露站点除了发布有关其运营的信息外，BlackMatter表示他们不会针对以下行业的实体：医院关键基础设施（核电站、发电厂、水处理设施）石油和天然气行业（管道、炼油厂）国防工业非营利组织的政府部门RecordedFuture表示，该团伙的勒索软件可执行文件有多种格式，因此它们可以加密不同的操作系统和设备架构。RecordedFuture报告：“该勒索软件适用于多种不同的操作系统版本和架构，并以多种格式提供，包括支持安全模式的Windows变体（EXE/ReflectiveDLL/PowerShell）和支持NAS的Linux变体：Synology、OpenMediaVault、FreeNAS（TrueNAS）。”“根据BlackMatter的说法，Windows勒索软件变体在WindowsServer2003+x86/x64和Windows7+x64/x86上成功测试。Linux勒索软件变体在ESXI5+上成功测试，在Ubuntu、Debian和CentOs上测试成功。Linux支持的文件系统包括VMFS、VFFS、NFS、VSAN。”目前，网站上没有列出任何受害者。不过，勒索软件团伙表示“目前所有Burkes都处于隐藏状态”，这表明他们正在积极攻击受害者。BleepingComputer已经能够确认正在进行主动攻击，至少一名受害者本周向威胁行为者支付了400万美元。BlackMatterTor谈判网站我们从谈判聊天中了解到，这是一个经验丰富的勒索软件团伙的行动，很可能是一个更大的、现已解散的组织，最近关闭，只是在一个不同的下名称。从DarkSide和REvil的灰烬中崛起？安全研究人员发现的信息以及网站和合作伙伴中的相似之处可能表明BlackMatter可能是由之前参与DarkSide和REvil勒索软件操作的威胁参与者创建的。由于勒索软件团伙经常重新命名以逃避法律执法，当我们在2020年8月首次报道D??arkSide时，一些安全研究人员和执法部门认为编辑说REvil正在更名为新的DarkSide行动。然而，这两个帮派继续并肩作战了将近一年，直到DarkSide袭击了殖民地管道。在美国政府和执法部门的全面压力下，DarkSide在5月关闭了业务。DarkSide的关闭首先由REvil面向公众的代表Unknown报告，他在黑客论坛上发布了相关信息。在REvil通过零日KaseyaVSA漏洞利用对全球托管提供商进行大规模攻击并随后关闭两个月后，UKNK发布了关于DarkSide扣押的论坛帖子。与DarkSide一样，REvil也感受到了来自美国政府和国际执法部门的巨大压力。人们普遍猜测俄罗斯政府关闭了它们并消失了一段时间。在查看BlackMatterTor站点后，安全研究人员发现它与现已解散的DarkSide勒索软件的Tor站点非常相似。这两个网页都有相似的配色方案、相似的语言、相似的自我介绍方式以及相似的目标列表，他们表示不会攻击。RecordedFuture还报道称，BlackMatter称“该项目结合了DarkSide、REvil和LockBit的最佳功能。”最后，网络安全公司Mandiant已经看到迹象表明，以前与DarkSide有关联的威胁行为者现在正在与BlackMatter合作。Mandiant金融犯罪分析主管KimberlyGoody告诉BleepingComputer：“我们已经看到一些迹象表明，至少有一个与某些DARKSIDE勒索软件操作相关的演员目前与BLACKMATTER结盟。”因为我们经常看到勒索软件分支机构与多个提供商合作。”虽然许多线索表明这可能是DarkSide的克隆，或者它可能是由两个组织的威胁参与者创建的，但在对勒索软件样本进行编码之后我们无法确定直到相似性分析，由于BlackMatter攻击还在进行中，研究人员可能很快就会找到样本，本文翻译自：https://www.bleepingcomputer.com/news/security/blackmatter-ransomware-gang-rises-from-the-ashes-of-darkside-revil/?__cf_chl_jschl_tk__=pmd_83bb198169f204a8310e5540bfc04f71bc8737ad-1628000412