一個(gè)名為BlackMatter的新勒索軟件團(tuán)伙正在購買企業(yè)網(wǎng)絡(luò)的訪問權(quán)限，該勒索病毒黑客組織對(duì)外宣稱，已經(jīng)整合了DarkSide、REvil和LockBit等勒索病毒的最佳功能特點(diǎn)。

上周，Recorded Future和安全研究人員pancak3都分享了一個(gè)名為“BlackMatter”的新威脅行為者在黑客論壇上發(fā)布的信息,證實(shí)這些威脅行為者想在那里購買對(duì)企業(yè)網(wǎng)絡(luò)的訪問權(quán)。

BlackMatter 發(fā)布到 Exploit 論壇的論壇帖子

在帖子中，威脅行為者表示，他們希望購買美國、加拿大、澳大利亞和英國的網(wǎng)絡(luò)訪問權(quán)限，但與醫(yī)療和政府實(shí)體相關(guān)的網(wǎng)絡(luò)除外。

他們進(jìn)一步說，他們?cè)敢鉃槊總€(gè)滿足以下條件的網(wǎng)絡(luò)花費(fèi)3,000到100,000美元：

• 收入超過1億美元。
• 網(wǎng)絡(luò)應(yīng)包含500-15,000個(gè)主機(jī)。
• 它應(yīng)該是其他威脅行為者尚未針對(duì)的新網(wǎng)絡(luò)。

為了表明他們發(fā)布帖子的可靠性，威脅行為者在Exile黑客論壇的加密貨幣錢包中存入了四個(gè)比特幣(價(jià)值120,000美元)，以表明他們是認(rèn)真的。

由于XSS和漏洞利用論壇現(xiàn)在禁止宣傳勒索軟件的論壇，威脅行為者沒有說明他們將如何使用網(wǎng)絡(luò)訪問。

BlackMatter勒索軟件團(tuán)伙出現(xiàn)

就在同一天，來自Recorded Future的研究人員透露，上周暗網(wǎng)上出現(xiàn)了一個(gè)新的Tor數(shù)據(jù)泄漏站點(diǎn)，用于“BlackMatter”勒索軟件操作。

該名稱表明BlackMatter威脅參與者是該勒索軟件以同一名稱運(yùn)行的面向公眾的代表。

新的 BlackMatter 數(shù)據(jù)泄露站點(diǎn)

除了發(fā)布有關(guān)其運(yùn)營的信息外，BlackMatter聲明他們不會(huì)針對(duì)以下行業(yè)的實(shí)體：

• 醫(yī)院
• 關(guān)鍵基礎(chǔ)設(shè)施(核電站、發(fā)電廠、水處理設(shè)施)
• 石油和天然氣工業(yè)(管道、煉油廠)
• 國防工業(yè)
• 非盈利公司
• 政府部門

Recorded Future表示，該團(tuán)伙的勒索軟件可執(zhí)行文件有多種格式，因此它們可以加密不同的操作系統(tǒng)和設(shè)備架構(gòu)。

Recorded Future報(bào)道稱：“該勒索軟件適用于多種不同的操作系統(tǒng)版本和架構(gòu)，并以多種格式交付，包括支持SafeMode的Windows 變體(EXE / Reflective DLL / PowerShell)和支持NAS的Linux變體：Synology、OpenMediaVault、FreeNAS(TrueNAS)。”

“據(jù)BlackMatter稱，Windows勒索軟件變體在Windows Server 2003+ x86/x64和Windows 7+ x64 / x86上成功測(cè)試。Linux勒索軟件變體在ESXI 5+、Ubuntu、Debian 和 CentOs上成功測(cè)試。Linux支持的文件系統(tǒng)包括VMFS、VFFS、NFS、VSAN。”

目前，網(wǎng)站上沒有列出受害者。但是，該勒索軟件團(tuán)伙表示“目前所有的伯克都被隱藏了”，這表明他們正在積極攻擊受害者。

BleepingComputer已經(jīng)能夠確認(rèn)有活躍的攻擊正在進(jìn)行，并且至少一名受害者在本周內(nèi)向威脅參與者支付了400萬美元。

BlackMatter Tor 談判網(wǎng)站

根據(jù)談判聊天的情況我們了解到，這是一次資深的勒索軟件團(tuán)伙的操作，很可能是最近關(guān)閉的較大的且現(xiàn)已解散的組織，只是換了一個(gè)名字而已。

從DarkSide和REvil的余燼中崛起?

安全研究人員發(fā)現(xiàn)的信息以及網(wǎng)站和合作伙伴中的相似之處可能表明BlackMatter可能是由之前參與過DarkSide和REvil勒索軟件操作的威脅行為者創(chuàng)建的。

由于勒索軟件團(tuán)伙通常會(huì)更名以逃避執(zhí)法，當(dāng)我們于2020年8月首次報(bào)道DarkSide時(shí)，一些安全研究人員和執(zhí)法部門認(rèn)為REvil正在更名為新的DarkSide行動(dòng)。

然而，這兩個(gè)幫派繼續(xù)并肩作戰(zhàn)了將近一年，直到DarkSide襲擊了Colonial Pipeline。迫于美國政府和執(zhí)法部門的全面壓力，DarkSide于5月關(guān)閉了其業(yè)務(wù)。

DarkSide的關(guān)閉首先是由REvil面向公眾的代表Unknown報(bào)道的，Unknown在一個(gè)黑客論壇上發(fā)布了有關(guān)它的信息。

UKNK 關(guān)于 DarkSide 緝獲的論壇帖子

兩個(gè)月后，REvil通過0 day Kaseya VSA漏洞對(duì)全球托管服務(wù)提供商進(jìn)行大規(guī)模攻擊，隨后就關(guān)閉了。

與DarkSide一樣，REvil也感受到了來自美國政府和國際執(zhí)法部門的巨大壓力。外界普遍猜測(cè)是俄羅斯政府讓他們關(guān)閉并消失一段時(shí)間。

在看到BlackMatter Tor站點(diǎn)后，安全研究人員發(fā)現(xiàn)它與現(xiàn)已解散的DarkSide勒索軟件的Tor站點(diǎn)非常相似。

兩個(gè)網(wǎng)絡(luò)頁面都有相似的顏色主題、相似的語言、相似的自我介紹方式，以及一個(gè)相似的聲稱不會(huì)攻擊的目標(biāo)列表。

Recorded Future還報(bào)道稱，BlackMatter表示“該項(xiàng)目融合了DarkSide、REvil和LockBit的最佳功能。”

最后，網(wǎng)絡(luò)安全公司Mandiant看到的跡象表明，以前與DarkSide有聯(lián)系的威脅行為者現(xiàn)在正在與BlackMatter合作。

Mandiant金融犯罪分析主管Kimberly Goody告訴BleepingComputer：“我們已經(jīng)看到一些跡象表明，目前至少有一名與某些DARKSIDE勒索軟件操作有關(guān)的參與者正在與BLACKMATTER結(jié)盟。”

“這不是什么令人驚訝的事情，因?yàn)槲覀兘?jīng)?？吹嚼账鬈浖綄俟九c多個(gè)提供商合作。”

雖然許多線索表明這可能是DarkSide的翻版，或者可能是由兩個(gè)團(tuán)體的威脅行為者創(chuàng)建的，但在對(duì)勒索軟件樣本進(jìn)行代碼相似性分析之前，我們無法確定。

由于BlackMatter攻擊正在進(jìn)行，研究人員可能很快就會(huì)找到樣本。

本文翻譯自：

https://www.bleepingcomputer.com/news/security/blackmatter-ransomware-gang-rises-from-the-ashes-of-darkside-revil/?__cf_chl_jschl_tk__=pmd_83bb198169f204a8310e5540bfc04f71bc8737ad-1628004121-0-gqNtZGzNAjijcnBszQ46