На прошлой неделе специалисты заметили появление нового шифровальщика BlackMatter, который сочетает в себе «лучшие» черты ныне несуществующих DarkSide и REvil. В частности, тогда аналитики Recorded Future писали, что новая группировка может быть связана с DarkSide, прекратившим работу в мае текущего года, после скандальной атаки на компанию Colonial Pipeline, которая привлекла к хакерам слишком пристальное внимание властей.
Как теперь сообщает издание Bleeping Computer, от BlackMatter уже пострадали несколько компаний, и хакеры требовали у них выкуп в размере от 3 до 4 миллионов долларов. Одна жертва уже заплатила злоумышленникам 4 миллионов долларов и получила от них дешифратор ESXi для Windows и Linux.
Журналисты показали этот инструмент ИБ-эксперту и техническому директору компании Emisosft Фабиану Восару. Он подтвердил, что BlackMatter использует те же уникальные методы шифрования, которые в своих атаках применяла группа DarkSide (включая специальную матрицу Salsa20, уникальную для этой группировки).
After looking into a leaked BlackMatter decryptor binary I am convinced that we are dealing with a Darkside rebrand here. Crypto routines are an exact copy pretty much for both their RSA and Salsa20 implementation including their usage of a custom matrix.
— Fabian Wosar (@fwosar) July 31, 2021
Также издание отмечает, что если BlackMatter – лишь «ребрендинг» DarkSide, это объясняет некоторые ограничения, перечисленные на сайте хакеров. Так, в числе прочего, группировка сообщает, что не собирается атаковать «нефтегазовую промышленность (трубопроводы, нефтеперерабатывающие заводы)». Напомню, что именно атака на оператора трубопровода Colonial Pipeline привела к «закрытию» DarkSide.
Между тем, в начале текущей недели, эксперт-аналитик компании Recorded Future Дмитрий Смилянец взял интервью у представителя новой вымогательской группировки. В BlackMatter отрицают, что связаны с DarkSide, вместо этого хакеры говорят, что лишь вдохновились «работой коллег».
«Darkside — относительно новое ПО с хорошей кодовой базой (отчасти проблемной, но сами идеи заслуживают внимания) и интересной веб-частью, если сравнивать с другими RaaS. [Наш] исполняемый файл вобрал в себя идеи LockBit, REvil и частично DarkSide. Веб-часть вобрала в себя технический подход DarkSide, так как мы считаем его наиболее структурно правильным (отдельные компании для каждой цели и так далее)», — рассказывают преступники.
Когда Смилянец прямо спросил, могут ли представители группировки подтвердить, что их инфраструктура основана на DarkSide, те ответили:
«Можем точно сказать, что мы фанаты темной темы в дизайне и знакомы с командой DarkSide по совместной работе в прошлом, но мы — это не они, хотя нам близки их идеи».
