BlackMatter Ransomware

Il semble que le vide laissé après que deux des plus grandes opérations de ransomware aient décidé de fermer soudainement leurs activités, commence maintenant à être comblé par de nouveaux acteurs dans les domaines. REvil et Darkside ont cessé leurs activités après que les groupes ont effectué des attaques massives de ransomware qui, apparemment, ont attiré trop d'attention indésirable. REvil a compromis les réseaux du producteur mondial de viande JBS et du fournisseur de services de réseau géré Kaseya, tandis que Darkside a perturbé les opérations de l'opérateur d'oléoduc Colonial Pipeline.

Désormais, un nouveau groupe de ransomware nommé BlackMatter prétend avoir intégré les capacités de REvil et de Darkside. Les analystes de Recorded Future ont découvert que le groupe faisait sa propre publicité sur des forums de hackers clandestins. Pour contourner la récente décision des forums d'interdire les publications traitant de schémas RaaS (Ransomware-as-a-Service), BlackMatter recherche plutôt des « courtiers d'accès initial ». Ce que cela signifie dans la pratique, c'est que le gang de ransomware nouvellement créé cherche à acheter l'accès à des réseaux d'entreprise déjà compromis.

Les victimes doivent satisfaire à des exigences strictes

Dans les annonces publiées, BlackMatter déclare ne s'intéresser qu'aux plus grandes entreprises opérant dans quatre pays spécifiques - les États-Unis, le Canada, l'Australie et le Royaume-Uni. Les victimes potentielles doivent également avoir des revenus annuels de 100 millions de dollars ou plus. De plus, les réseaux violés doivent avoir entre 500 et 15 000 hôtes. Pour les cibles répondant aux critères, les pirates sont prêts à payer jusqu'à 100 000 $ pour garantir leur accès exclusif.

Une fois que le groupe aura obtenu l'accès au réseau d'entreprise choisi, il publiera des outils menaçants chargés d'établir le contrôle sur les systèmes internes. L'étape suivante consiste à déployer des menaces de chiffrement pour verrouiller les données stockées sur les appareils infectés. BlackMatter, apparemment, est prêt à compromettre un grand nombre de systèmes différents, notamment Windows, Linux, les périphériques de stockage en réseau (NAS) et les points de terminaison virtuels VMWare ESXi 5+.

Site de fuite sur le Dark Web

Exactement comme la plupart des gangs de ransomware actuels, BlackMatter a également créé son propre site dédié aux fuites hébergé sur le Dark Web. Selon les chercheurs de Recorded Future, le site est vide pour le moment, un témoignage de la formation récente du groupe. Il existe cependant des preuves qui jettent le doute sur cette hypothèse. Une section sur le site de fuite nouvellement apparu qui décrit une liste d'entités qui ne seront pas ciblées par le groupe présente une similitude frappante avec ce qui était disponible sur le site de Darkside auparavant. L'infrastructure de l'opération BlackMatter qui a été détectée par les analystes jusqu'à présent peut également fournir une connexion à Darkside, mais pour le moment rien n'est assez concluant.

Pourtant, selon son site, BlackMatter évitera activement de compromettre les hôpitaux, les installations critiques telles que les centrales électriques, les organisations de l'industrie pétrolière et gazière, les organisations à but non lucratif et d'autres entités d'importance publique. Les pirates promettent que s'ils cryptaient par accident les systèmes d'une entreprise de l'un des secteurs exclus, ils aideraient alors au décryptage gratuit de toutes les données verrouillées.