Аналитики компании Recorded Future обнаружили новую вымогательскую хак-группу BlackMatter, которая сочетает в себе «лучшие» черты ныне несуществующих DarkSide и REvil.

Исследователи говорят, что в настоящее время группировка набирает «партнеров» через объявления на хакерских форумах Exploit и XSS. Хотя любая реклама, связанная с вымогателями, запрещена на этих ресурсах с мая 2021 года, участники BlackMatter не рекламируют Ransomware-as-a-Service (RaaS), но размещают объявления о поиске «брокеров для начального доступа», то есть людей, которые имеют доступ к взломанным корпоративным сетям.

Согласно объявлению, BlackMatter заинтересованы в работе только с теми брокерами, которые могут предоставить доступ к сетям крупных компаний, чей доход составляет 100 миллионов долларов в год или больше. В такой сети должно насчитываться от 500 до 15 000 хостов, и она должна располагаться в США, Великобритании, Канаде или Австралии. Хакеры пишут, что готовы заплатить до 100 000 долларов за эксклюзивный доступ к любой из подходящих сетей.

Участники группировки хвастаются тем, что могут шифровать данные в различных версиях операционных систем и архитектурах. В том числе: Windows (через SafeMode), Linux (Ubuntu, Debian, CentOS), VMWare ESXi 5+, а также NAS Synology, OpenMediaVault, FreeNAS и TrueNAS.

Как и большинство современных вымогателей, группировка BlackMater уже запустила собственный сайт для слива данных, где хакеры намерены публиковать украденную  у жертв информацию, если взломанная компания не соглашается платить выкуп за расшифровку файлов. Пока ресурс пустует, но BlackMatter заявили о себе только на этой неделе и пока никого не атаковали.

На сайте BlackMatter перечислены цели, которые группа атаковать не собирается (в случае случайного заражения данные пострадавших будут расшифрованы бесплатно). В список вошли:

  • больницы;
  • объекты критической инфраструктуры (атомные электростанции, электростанции, водоочистные сооружения);
  • нефтегазовая промышленность (трубопроводы, нефтеперерабатывающие заводы);
  • оборонная промышленность;
  • некоммерческие организации;
  • государственный сектор.

Аналитики Recorded Future считают, что новая группировка может быть связана с другими известными вымогателями, DarkSide, прекратившими работу в мае текущего года, после скандальной атаки на компанию Colonial Pipeline, которая привлекла к хакерам слишком пристальное внимание властей. Впрочем, пока исследователи не делают окончательных выводов и продолжают расследование.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии