《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 融合DarkSide和REvil更名BlackMatter勒索王回归?目标锁定收入1亿美元以上公司

融合DarkSide和REvil更名BlackMatter勒索王回归?目标锁定收入1亿美元以上公司

2021-08-02
来源:网络安全应急技术国家工程实验室
关键词: 勒索 DarkSide REvil

  分析师发现,一个新的勒索软件团伙本周开始运作,声称结合了现已解散的 DarksideREvil勒索软件组织的最佳功能。

  该新勒索组织名为BlackMatter(记住这个名字,新的勒索王出现,勒索江湖又将腥风血雨),目前正在通过在两个名为Exploit和XSS的网络犯罪论坛上发布的广告招募附属机构(合作者)。

  尽管自5月以来,这两个论坛上都禁止了勒索软件操作的广告 ,但 BlackMatter组织并未直接为其勒索软件即服务 (RaaS) 产品做广告,而是发布了招募“初始访问经纪人”的广告,该术语用于描述可以访问被黑企业网络的个人。

  根据该团伙的广告,BlackMatter有兴趣与经纪人合作,他们可以授予其访问顶级企业网络的权限——需要这些公司的年收入为1亿美元或以上。

  根据BlackMatter团伙的说法,目标受害者需要拥有500到15000台主机,并且位于美国、英国、加拿大或澳大利亚。

  BlackMatter团队表示愿意支付高达100000美元以独家访问这些高价值网络中的任何一个。一旦小组找到合适的目标,他们将使用经纪人授予的访问权限来部署接管公司内部系统的工具,然后部署他们的文件加密负载。

  该小组吹嘘能够加密不同的操作系统版本和架构。包括 Windows 系统(通过 SafeMode)、Linux(Ubuntu、Debian、CentOS)、VMWare ESXi 5+ 虚拟端点和网络附加存储 (NAS) 设备(例如 Synology、OpenMediaVault、FreeNAS 和 TrueNAS)。

  BlackMatter还经营着一个暗网泄密网站

  就像当今大多数顶级勒索软件团伙一样,BlackMater在暗网上也运营着一个网站——称为泄密网站——如果被黑客入侵的公司不同意支付解密文件的费用,它会在那里发布他们从受害者那里窃取的数据。

  该站点目前是空的,研究人员确认BlackMatter组仅在本周启动,尚未进行任何入侵。在网站的某个部分,BlackMatter组织还列出了一系列他们不打算攻击的目标。这包括[原文]:

  医院。

  关键基础设施(核电站、发电厂、水处理设施)。

  石油和天然气工业(管道、炼油厂)。

  国防工业。

  非盈利公司。

  政府部门。

  BlackMatter团伙声称,如果来自这些垂直行业的受害者被感染,他们计划免费解密他们的数据。这部分与之前在 Darkside团伙泄漏现场可用的部分非常相似,后者在美国管道运营商Colonial遭到袭击后停止运营。

  BlackMatter是DarkSide还是REvil?

  从上面两个链接,我们知道DarkSide和REvil勒索团队都偃旗息鼓,神秘关闭。那么新成立的BlackMatte到底是DarkSide还是REvil?

  安全研究人员发现的信息以及网站和合作伙伴中的相似之处可能表明BlackMatter已经招募或由之前参与过DarkSide和REvil勒索软件操作的威胁行为者创建。

  由于勒索软件团伙通常会更名以逃避执法,当我们于2020年8月首次报道 DarkSide时,一些安全研究人员和执法部门认为REvil正在更名为新的 DarkSide行动。

  然而,这两个帮派继续并肩作战了将近一年,直到DarkSide袭击了Colonial Pipeline。感受到美国政府和执法部门的全面压力,DarkSide于5月关闭了其运营。

  DarkSide的关闭首先是由REvil的面向公众的代表Unknown报道的,他在一个黑客论坛上发布了有关它的信息。这似乎表明两个团队的上层有交汇,或隶属于同一个大集团之下。

  两个月后,  REvil在通过零日Kaseya VSA漏洞对全球托管服务提供商进行大规模攻击后关闭。与DarkSide一样,REvil也感受到来自美国政府 和国际执法部门的巨大压力。外界普遍猜测是俄罗斯政府让他们关闭并消失一段时间。

  在看到BlackMatter Tor站点后,安全研究人员发现它与现已解散的DarkSide 勒索软件的Tor站点非常相似。两个页面共享相似的颜色主题、相似的语言、相似的自称方式,还包括他们不会攻击的目标列表。

  BlackMatter表示,“该项目已将 DarkSide、REvil和LockBit的最佳功能融入其中。”

  最后,网络安全公司Mandiant看到的迹象表明,以前与DarkSide有联系的黑客现在正在与BlackMatter合作。“我们已经看到一些迹象表明,目前至少有一个与某些 DARKSIDE 勒索软件操作有关的参与者正在与BLACKMATTER保持一致,”Mandiant 金融犯罪分析主管Kimberly Goody说。“这并不一定令人惊讶,因为我们经常看到勒索软件附属公司与多个提供商合作。”

  虽然许多线索表明这可能是DarkSide的品牌重塑,或者可能是由两个团体的演员创建的,但在对勒索软件样本进行代码相似性分析之前,我们无法确定。

  在解密器中发现的加密算法表明,臭名昭著的DarkSide勒索软件团伙已重新命名为新的BlackMatter勒索软件操作,并正在积极对公司实体进行攻击。本周,我们知道BlackMatter正瞄准了多名受害者,赎金要求从3美元到400万美元不等。

  本周,一名受害者已经向BlackMatter支付了400万美元的赎金,以删除被盗数据并获得Windows和Linux ESXi解密器。

  在研究新的勒索软件组织时,研究人员发现了来自BlackMatter受害者的解密器,并将其分享给Emisosft首席技术官和勒索软件专家Fabian Wosar。在对解密器进行分析后,Wosar确认新的BlackMatter组织正在使用与DarkSide在其攻击中使用的相同的独特加密方法。

  Wosar说,BlackMatter使用的加密程序与DarkSide几乎相同,包括DarkSide独有的自定义Salsa20矩阵。在使用Salsa20 加密算法加密数据时,开发人员提供了一个由16个32位字组成的初始矩阵。

  在加密文件时,Fabian说,对于每个加密文件,DarkSide不是使用常量字符串、位置、随机数和密钥,而是用随机数据填充单词。然后使用公共RSA密钥对该矩阵进行加密并存储在加密文件的页脚中。

  Fabian说这个Salsa20实现以前只被DarkSide使用,现在是BlackMatter。研究人员还被告知DarkSide使用了其加密器独有的RSA-1024,BlackMatter也使用了该加密器算法。

  虽然没有100%的证据表明BlackMatter是DarkSide行动的更名,但许多类似的特征让人很难相信事实并非如此。当我们采用相同的加密算法、BlackMatter网站上使用的类似语言、媒体关注的类似渴望以及他们的TOR网站的类似颜色主题时,最终都指向BlackMatter非常非常疑似是新的DarkSide。

  不幸的是,这是一个以多种设备架构为目标的高技能团队,包括Windows、Linux和ESXi服务器。因此,我们需要密切关注这个新组织,因为他们将来肯定会对知名目标进行攻击。




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。