【捲土重來?】帶REvil及DarkSide影子 新勒索軟件組織BlackMatter崛起
犯罪分子經常都一雞死一雞鳴的狀態,哪裏有「錢途」,哪裏就有人默默搵食。就在 REvil 及 DarkSide 悄然消失之際,一個名為 BlackMatter 的新勒索軟件組織冒起,並正購買企業網絡的訪問權限,又聲稱其組織擁有 REvil 和 DarkSide 的最佳操作功能。
Bleeping Computer 報道指,上週 Recorded Future 和安全研究人員 pancak3,都提及 BlackMatter 這個勒索軟件組織在黑客論壇上發貼文,聲稱他們想購買企業網絡的訪問權。在貼文中,他們表示希望購買美國、加拿大、澳洲和英國的網絡訪問權限,但並不包括醫療和政府相關的網絡。他們聲稱願意為每個滿足以下條件的網絡花費 3,000 到 100,000 美元:(1)收入超過 1 億美元;(2)網絡包含 500 – 15,000 台設備;(3)其他威脅行為者尚未攻擊的新網絡。為表認真,BlackMatter 在 Exile 黑客論壇的加密貨幣錢包中存入了四個比特幣(約值 120,000 美元)。
由於 XSS 等論壇現時都禁止宣傳勒索軟件,BlackMatter 並沒有說明將如何使用網絡訪問權限。Recorded Future 的研究人員則透露,上周暗網上出現了一個新的 Tor 數據洩漏站點,並用到 BlackMatter 勒索軟件操作,勒索軟件的名稱表明 BlackMatter 威脅參與者,是以與其同名的勒索軟件面對大眾。
除了發布有關其運營的信息外,BlackMatter 還表示,他們不會針對以下行業的實體:醫院;關鍵基礎設施(核電站、發電廠、水處理設施);石油和天然氣工業(管道、煉油廠);國防工業;非牟利公司;政府部門。Recorded Future 表示,該組織的勒索軟件可執行文件有多種格式,因此它們可以加密不同的操作系統和設備架構。
目前,BlackMatter 的網站上沒有列出受害者,但他們指只是暫時隱藏所有博客,表明他們正在積極攻擊受害者。BleepingComputer 已確認 BlackMatter 正作主動攻擊,並且至少一名受害者向他們支付了 400 萬美元贖金。
安全研究人員憑發現的信息及網站,判斷 BlackMatter 可能已招募之前曾參與 DarkSide 和 REvil 勒索軟件操作的威脅行為者。由於勒索軟件組織經常易名逃避執法。Bleeping Computer 於 2020 年 8 月首次報導 DarkSide 時,一些安全研究人員和執法部門都認為 REvil 正在易名並以 DarkSide 之名行動。兩幫組織持續合作近一年,直到發生 DarkSide 攻擊 Colonial Pipeline 事件後,受到美國政府和執法部門的全面壓力,DarkSide 最終於 5 月停止運營。
DarkSide 的停運首先由 REvil 的面向大眾的代表 Unknown 所報道,並在一個黑客論壇上發布了相關訊息。兩個月後,REvil 在以 Kaseya VSA 零日漏洞對全球託管服務提供商進行大規模攻擊後關閉。與 DarkSide 一樣,REvil 也感受到來自美國政府和國際執法部門的巨大壓力,外界普遍猜測是俄羅斯政府讓他們關閉並消失一段時間。
在看到 BlackMatter Tor 站點後,安全研究人員發現它與 DarkSide 勒索軟件的 Tor 站點非常相似。兩個頁面採用相似的顏色主題、語言、自稱方式,而他們不會攻擊的目標列表也見相似。Recorded Future 還指,BlackMatter 表示,項目已將 DarkSide、REvil 和 LockBit 的最佳功能融入其中。網絡安全公司 Mandiant 看到的迹象表明,以前與 DarkSide 有聯繫的威脅者,現正與 BlackMatter 合作。
雖然許多線索表明 BlackMatter 可能是 DarkSide 改名後重新營運,又或是由兩個組織的威脅參與者所創建,但在對勒索軟件樣本進行代碼相似性分析之前,仍無法確定。
