BlackMatter ransomware
Parece que el vacío dejado después de que dos de las mayores operaciones de ransomware decidieran cerrar sus actividades de repente, ahora está comenzando a ser llenado por nuevos jugadores en los campos. REvil y Darkside cesaron sus operaciones después de que los grupos realizaran ataques masivos de ransomware que, aparentemente, atrajeron demasiada atención no deseada. REvil comprometió las redes del productor mundial de carne JBS y el proveedor de servicios de red administrados Kaseya, mientras que Darkside interrumpió las operaciones del operador de oleoductos Colonial Pipeline.
Ahora, un nuevo equipo de ransomware llamado BlackMatter afirma haber incorporado las capacidades de REvil y Darkside. Los analistas de Recorded Future descubrieron que el grupo se anunciaba en foros clandestinos de piratas informáticos. Para evitar la reciente decisión de los foros de prohibir las publicaciones relacionadas con esquemas RaaS (Ransomware-as-a-Service), BlackMatter está buscando 'agentes de acceso inicial'. Lo que esto significa en la práctica es que la banda de ransomware recién establecida está buscando comprar acceso a redes corporativas ya comprometidas.
Las víctimas deben cumplir requisitos estrictos
En los anuncios publicados, BlackMatter afirma que solo están interesados en las empresas más grandes que operan en cuatro países específicos: EE. UU., Canadá, Australia y el Reino Unido. Las víctimas potenciales también deben tener ingresos anuales de $ 100 millones o más. Además, las redes violadas deben tener entre 500 y 15 mil hosts. Para los objetivos que cumplen con los criterios, los piratas informáticos están dispuestos a pagar hasta $ 100, 000 para garantizar su acceso exclusivo.
Una vez que el grupo haya obtenido acceso a la red corporativa elegida, lanzará herramientas amenazantes encargadas de establecer el control sobre los sistemas internos. El siguiente paso es implementar amenazas de cifrado para bloquear los datos almacenados en los dispositivos infectados. BlackMatter, aparentemente, está listo para comprometer un gran conjunto de sistemas diferentes, incluidos Windows, Linux, dispositivos de almacenamiento conectados a la red (NAS) y puntos finales virtuales VMWare ESXi 5+.
Sitio de fuga en la Dark Web
Exactamente como la mayoría de las bandas de ransomware actuales, BlackMatter también ha creado su propio sitio de filtraciones dedicado alojado en la Dark Web. Según los investigadores de Recorded Future, el sitio está vacío en este momento, un testimonio de que el grupo se formó recientemente. Sin embargo, hay alguna evidencia que arroja dudas sobre esta suposición. Una sección en el sitio de filtración recién surgido que describe una lista de entidades que no serán el objetivo del grupo tiene una similitud sorprendente con lo que estaba disponible anteriormente en el sitio de Darkside. La infraestructura de la operación BlackMatter que ha sido detectada por los analistas hasta ahora también puede proporcionar una conexión con Darkside, pero por el momento nada es lo suficientemente concluyente.
Aún así, según su sitio, BlackMatter evitará activamente comprometer hospitales, instalaciones críticas como plantas de energía, organizaciones de la industria del petróleo y el gas, organizaciones sin fines de lucro y otras entidades de importancia pública. Los piratas informáticos prometen que si por accidente cifran los sistemas de una empresa de uno de los sectores excluidos, ayudarán con el descifrado gratuito de todos los datos bloqueados.
