La banda de ransomware BlackMatter ha confirmado que, a pesar de haberse inspirado en la operación DarkSide y haber trabajado con algunos de sus afiliados en el pasado, es un proyecto propio.
BlackMatter, que se fundó oficialmente en julio de 2021, está en proceso de reclutar afiliados para su programa de ransomware-as-service (RaaS) y está anunciando activamente a los corredores de acceso inicial que pueden ayudarlo a infiltrarse en redes corporativas de alto valor.
Está dirigido específicamente a grandes corporaciones con tres características principales: ingresos de $ 100 millones al año o más, redes con 500 a 15,000 hosts y que están ubicadas en los EE. UU., El Reino Unido, Canadá o Australia.
Dado que las bandas de ransomware tienden a cambiar su nombre para evadir la aplicación de la ley, los investigadores de seguridad han estado especulando sobre las conexiones entre BlackMatter y otros grupos, a saber, REvil y DarkSide.
Se cree que los actores detrás de REvil, por ejemplo, que fue responsable del ataque de alto perfil contra Kaseya a principios de julio, son los mismos actores que están detrás de una antigua cepa de ransomware conocida como GandCrab.
Si bien en un momento algunos investigadores creyeron que REvil se estaba cambiando de nombre a DarkSide, que surgió por primera vez en agosto de 2020, ambos continuaron operando uno al lado del otro durante casi un año hasta que este último atacó a Colonial Pipeline en mayo de 2021.
Tanto DarkSide como REvil han desaparecido desde sus respectivos ataques a Colonial Pipeline y Kaseya, aunque no se ha confirmado la razón exacta por la que pasaron a la clandestinidad.
En una entrevista con el analista experto en inteligencia de amenazas de Recorded Future, Dmitry Smilyanets, que se publicó en El record, un representante de BlackMatter dijo: “Estamos familiarizados con el equipo de DarkSide por trabajar juntos en el pasado, pero no somos ellos, aunque somos íntimos con sus ideas”.
El representante agregó que BlackMatter ha aprendido una serie de lecciones de la salida de REvil, DarkSide y otros del mercado RaaS.
“Creemos que en gran medida su salida del mercado estuvo asociada a la situación geopolítica en el escenario mundial”, dijeron. “En primer lugar, este es el miedo de Estados Unidos y su planificación de operaciones cibernéticas ofensivas, así como un grupo de trabajo bilateral sobre extorsión cibernética. Estamos monitoreando la situación política, además de recibir información de otras fuentes.
“Al diseñar nuestra infraestructura, tomamos en cuenta todos estos factores y podemos decir que podemos soportar las capacidades cibernéticas ofensivas de Estados Unidos. ¿Por cuanto tiempo? El tiempo dirá. Por ahora, nos centramos en el trabajo a largo plazo. También moderamos los objetivos y no permitiremos que nuestro proyecto se utilice para cifrar la infraestructura crítica, lo que atraerá atención no deseada hacia nosotros “.
El representante agregó que los ataques a gran escala como los de Colonial Pipeline fueron “un factor clave para el cierre” de otras bandas de ransomware, por lo que han decidido prohibir atacar ciertos objetivos, incluidos hospitales, instalaciones de infraestructura crítica como plantas de energía nuclear. o plantas de tratamiento de agua, y la industria del petróleo y el gas: “No vemos ningún sentido en atacarlos”.
El representante de BlackMatter dijo que el grupo también se había tomado el tiempo para estudiar específicamente las operaciones DarkSide, REvil y LockBit antes de comenzar su propio proyecto, y agregó que ha incorporado las fortalezas de cada proyecto en las suyas.
“Desde REvil – SafeMode, su implementación fue débil y no estaba bien pensada, desarrollamos la idea y la implementamos a fondo. También implementamos la versión PowerShell de la variante de ransomware dada la implementación de REvil ”, dijeron.
“De LockBit, un enfoque para la implementación del código base, tomamos algunas cosas de allí, en su mayoría pequeñas cosas.
“De DarkSide: en primer lugar, esta es la idea de la suplantación de identidad (la capacidad del cifrador de usar la cuenta del administrador del dominio para cifrar las unidades compartidas con los máximos derechos), también tomamos prestada la estructura del panel de administración de allí”.
El representante agregó que el producto BlackMatter ha estado en desarrollo durante los últimos seis meses y confirmó, de acuerdo con la evaluación de BleepingComputer de que los ataques activos están en marcha y al menos una víctima ya ha pagado $ 4 millones a los actores de la amenaza, ya está en negociación. con empresas a las que ha atacado.
Cuando Smilyanets les preguntó por qué los talentosos profesionales del equipo de BlackMatter están usando su habilidad para “actividades destructivas”, y si habían considerado las pruebas de penetración legal, el representante respondió: “No negamos que los negocios sean destructivos, pero si miramos más a fondo – como resultado de estos problemas, se desarrollan y crean nuevas tecnologías. Si todo fuera bien en todas partes, no habría lugar para nuevos desarrollos.
“Hay una vida y le quitamos todo, nuestro negocio no daña a las personas y está dirigido solo a las empresas, y la empresa siempre tiene la capacidad de pagar fondos y restaurar todos sus datos.
“No hemos estado involucrados en pruebas de penetración legales y creemos que esto no podría traer la recompensa material adecuada”.