Ransomware

Dois novos programas de ransomware-as-service (RaaS) apareceram no radar de ameaças este mês, com um grupo aparentando ser o sucessor de DarkSide e REvil, as duas empresas de ransomwares que ganharam notoriedade após grandes ataques a Colonial Pipeline e Kaseya nos últimos meses.

“O projeto incorporou em si as melhores características do DarkSide, REvil e LockBit”, disseram os operadores por trás do novo grupo BlackMatter em seu blog público na darknet, fazendo promessas de não atacar organizações em vários setores, incluindo saúde, infraestrutura crítica, petróleo e gás, orgãos de governo e instituição sem fins lucrativo.

De acordo com pesquisadores, o ator da ameaça BlackMatter registrou uma conta nos fóruns de língua russa XSS e Exploit em 19 de julho, acompanhando rapidamente com uma postagem informando que pretendem adquirir acesso a redes corporativas infectadas compreendendo algo entre 500 e 15.000 hosts no EUA, Canadá, Austrália e Reino Unido e com receitas de mais de $ 100 milhões por ano, potencialmente sugerindo uma operação de ransomware em grande escala.

“O ator recebeu de depósito equivalente a 4BTC (aproximadamente US $ 150.000) em sua conta. Grandes depósitos no fórum indicam a seriedade do ator da ameaça”, disseram os pesquisadores no relatório. “A BlackMatter não afirma abertamente que é uma organização criminosa de propagação de ransomware, o que tecnicamente não quebra as regras dos fóruns, embora a linguagem de sua postagem, bem como seus objetivos indiquem claramente que eles são um organização criminosa de ransomware.”

BlackMatter Ransomware
REGRAS
Nós não atacamos:
– Hospitais.
– Infraestrutura crítica (tratamento de água, usina elétrica, usina nuclear).
– Oleodutos, petróleo, gás.
– Industrias de material bélico.
– Instituições sem fins lucrativos.
– Órgãos de governo.

Se sua empresa consta nesta lista você pode solicitar a gente pela de criptografia grátis.

Em 27 de julho, o grupo começou a recrutar ativamente parceiros e afiliados usando o servidor Jabber do fórum Exploit para divulgar sua mensagem de recrutamento, na qual afirmam estar procurando penetration testers experientes com conhecimento em sistemas Windows e Linux, bem como patrocinadores, que ajudariam na parte de suporte e mão de obra e ganharia por uma porcentagem dos lucros.

No mês passado, pesquisadores revelaram que as organizações de ransomware estão cada vez mais comprando acesso de grupos cibercriminosos independentes, que se infiltram em grandes alvos e, em seguida, fornecem a eles um ponto de entrada para implantar operações de roubo de dados e criptografia em troca de uma parte dos ganhos ilícitos.

O surgimento do BlackMatter coincide com o fim do DarkSide e REvil na fileira de incidentes de ransomware que ocasionaram nos ataques de Colonial Pipeline, JBS e Kaseya, levantando especulações de que os grupos podem eventualmente mudar de nome e ressurgir sob uma nova identidade.

Embora as evidências concretas conectando BlackMatter e os grupos agora extintos sejam escassas, as “regras semelhantes sobre segmentação” e o fato de que REvil anteriormente rotulou sua chave de registro do Windows como “BlackLivesMatter” há teorias de que REvil pode realmente ter entrado em uma pausa temporária após uma onda de ataques a grandes empresas. “É possível também que imitadores estejam intencionalmente imitando o comportamento de REvil para ganhar credibilidade imediata”, disse os pesquisadores.

REFERÊNCIAS:

https://thehackernews.com/2021/07/new-ransomware-gangs-haron-and.html

https://thehackernews.com/2021/06/us-recovers-23-million-ransom-paid-to.html

https://thehackernews.com/2021/06/beef-supplier-jbs-paid-hackers-11.html