Аналитики компании Recorded Future обнаружили новую вымогательскую хак-группу BlackMatter, которая сочетает в себе «лучшие» черты ныне несуществующих DarkSide и REvil.
Исследователи говорят, что в настоящее время группировка набирает «партнеров» через объявления на хакерских форумах Exploit и XSS. Хотя любая реклама, связанная с вымогателями, запрещена на этих ресурсах с мая 2021 года, участники BlackMatter не рекламируют Ransomware-as-a-Service (RaaS), но размещают объявления о поиске «брокеров для начального доступа», то есть людей, которые имеют доступ к взломанным корпоративным сетям.
Согласно объявлению, BlackMatter заинтересованы в работе только с теми брокерами, которые могут предоставить доступ к сетям крупных компаний, чей доход составляет 100 миллионов долларов в год или больше. В такой сети должно насчитываться от 500 до 15 000 хостов, и она должна располагаться в США, Великобритании, Канаде или Австралии. Хакеры пишут, что готовы заплатить до 100 000 долларов за эксклюзивный доступ к любой из подходящих сетей.
Участники группировки хвастаются тем, что могут шифровать данные в различных версиях операционных систем и архитектурах. В том числе: Windows (через SafeMode), Linux (Ubuntu, Debian, CentOS), VMWare ESXi 5+, а также NAS Synology, OpenMediaVault, FreeNAS и TrueNAS.
Как и большинство современных вымогателей, группировка BlackMater уже запустила собственный сайт для слива данных, где хакеры намерены публиковать украденную у жертв информацию, если взломанная компания не соглашается платить выкуп за расшифровку файлов. Пока ресурс пустует, но BlackMatter заявили о себе только на этой неделе и пока никого не атаковали.
На сайте BlackMatter перечислены цели, которые группа атаковать не собирается (в случае случайного заражения данные пострадавших будут расшифрованы бесплатно). В список вошли:
- больницы;
- объекты критической инфраструктуры (атомные электростанции, электростанции, водоочистные сооружения);
- нефтегазовая промышленность (трубопроводы, нефтеперерабатывающие заводы);
- оборонная промышленность;
- некоммерческие организации;
- государственный сектор.
Аналитики Recorded Future считают, что новая группировка может быть связана с другими известными вымогателями, DarkSide, прекратившими работу в мае текущего года, после скандальной атаки на компанию Colonial Pipeline, которая привлекла к хакерам слишком пристальное внимание властей. Впрочем, пока исследователи не делают окончательных выводов и продолжают расследование.