分析師發(fā)現(xiàn)，一個(gè)新的勒索軟件團(tuán)伙本周開(kāi)始運(yùn)作，聲稱結(jié)合了現(xiàn)已解散的 Darkside和REvil勒索軟件組織的最佳功能。

　　該新勒索組織名為BlackMatter（記住這個(gè)名字，新的勒索王出現(xiàn)，勒索江湖又將腥風(fēng)血雨），目前正在通過(guò)在兩個(gè)名為Exploit和XSS的網(wǎng)絡(luò)犯罪論壇上發(fā)布的廣告招募附屬機(jī)構(gòu)（合作者）。

　　盡管自5月以來(lái)，這兩個(gè)論壇上都禁止了勒索軟件操作的廣告 ，但 BlackMatter組織并未直接為其勒索軟件即服務(wù) （RaaS） 產(chǎn)品做廣告，而是發(fā)布了招募“初始訪問(wèn)經(jīng)紀(jì)人”的廣告，該術(shù)語(yǔ)用于描述可以訪問(wèn)被黑企業(yè)網(wǎng)絡(luò)的個(gè)人。

　　根據(jù)該團(tuán)伙的廣告，BlackMatter有興趣與經(jīng)紀(jì)人合作，他們可以授予其訪問(wèn)頂級(jí)企業(yè)網(wǎng)絡(luò)的權(quán)限——需要這些公司的年收入為1億美元或以上。

　　根據(jù)BlackMatter團(tuán)伙的說(shuō)法，目標(biāo)受害者需要擁有500到15000臺(tái)主機(jī)，并且位于美國(guó)、英國(guó)、加拿大或澳大利亞。

　　BlackMatter團(tuán)隊(duì)表示愿意支付高達(dá)100000美元以獨(dú)家訪問(wèn)這些高價(jià)值網(wǎng)絡(luò)中的任何一個(gè)。一旦小組找到合適的目標(biāo)，他們將使用經(jīng)紀(jì)人授予的訪問(wèn)權(quán)限來(lái)部署接管公司內(nèi)部系統(tǒng)的工具，然后部署他們的文件加密負(fù)載。

　　該小組吹噓能夠加密不同的操作系統(tǒng)版本和架構(gòu)。包括 Windows 系統(tǒng)（通過(guò) SafeMode）、Linux（Ubuntu、Debian、CentOS）、VMWare ESXi 5+ 虛擬端點(diǎn)和網(wǎng)絡(luò)附加存儲(chǔ) （NAS） 設(shè)備（例如 Synology、OpenMediaVault、FreeNAS 和 TrueNAS）。

　　BlackMatter還經(jīng)營(yíng)著一個(gè)暗網(wǎng)泄密網(wǎng)站

　　就像當(dāng)今大多數(shù)頂級(jí)勒索軟件團(tuán)伙一樣，BlackMater在暗網(wǎng)上也運(yùn)營(yíng)著一個(gè)網(wǎng)站——稱為泄密網(wǎng)站——如果被黑客入侵的公司不同意支付解密文件的費(fèi)用，它會(huì)在那里發(fā)布他們從受害者那里竊取的數(shù)據(jù)。

　　該站點(diǎn)目前是空的，研究人員確認(rèn)BlackMatter組僅在本周啟動(dòng)，尚未進(jìn)行任何入侵。在網(wǎng)站的某個(gè)部分，BlackMatter組織還列出了一系列他們不打算攻擊的目標(biāo)。這包括[原文]：

　　醫(yī)院。

　　關(guān)鍵基礎(chǔ)設(shè)施（核電站、發(fā)電廠、水處理設(shè)施）。

　　石油和天然氣工業(yè)（管道、煉油廠）。

　　國(guó)防工業(yè)。

　　非盈利公司。

　　政府部門。

　　BlackMatter團(tuán)伙聲稱，如果來(lái)自這些垂直行業(yè)的受害者被感染，他們計(jì)劃免費(fèi)解密他們的數(shù)據(jù)。這部分與之前在 Darkside團(tuán)伙泄漏現(xiàn)場(chǎng)可用的部分非常相似，后者在美國(guó)管道運(yùn)營(yíng)商Colonial遭到襲擊后停止運(yùn)營(yíng)。

　　BlackMatter是DarkSide還是REvil？

　　從上面兩個(gè)鏈接，我們知道DarkSide和REvil勒索團(tuán)隊(duì)都偃旗息鼓，神秘關(guān)閉。那么新成立的BlackMatte到底是DarkSide還是REvil？

　　安全研究人員發(fā)現(xiàn)的信息以及網(wǎng)站和合作伙伴中的相似之處可能表明BlackMatter已經(jīng)招募或由之前參與過(guò)DarkSide和REvil勒索軟件操作的威脅行為者創(chuàng)建。

　　由于勒索軟件團(tuán)伙通常會(huì)更名以逃避執(zhí)法，當(dāng)我們于2020年8月首次報(bào)道 DarkSide時(shí)，一些安全研究人員和執(zhí)法部門認(rèn)為REvil正在更名為新的 DarkSide行動(dòng)。

　　然而，這兩個(gè)幫派繼續(xù)并肩作戰(zhàn)了將近一年，直到DarkSide襲擊了Colonial Pipeline。感受到美國(guó)政府和執(zhí)法部門的全面壓力，DarkSide于5月關(guān)閉了其運(yùn)營(yíng)。

　　DarkSide的關(guān)閉首先是由REvil的面向公眾的代表Unknown報(bào)道的，他在一個(gè)黑客論壇上發(fā)布了有關(guān)它的信息。這似乎表明兩個(gè)團(tuán)隊(duì)的上層有交匯，或隸屬于同一個(gè)大集團(tuán)之下。

　　兩個(gè)月后，  REvil在通過(guò)零日Kaseya VSA漏洞對(duì)全球托管服務(wù)提供商進(jìn)行大規(guī)模攻擊后關(guān)閉。與DarkSide一樣，REvil也感受到來(lái)自美國(guó)政府 和國(guó)際執(zhí)法部門的巨大壓力。外界普遍猜測(cè)是俄羅斯政府讓他們關(guān)閉并消失一段時(shí)間。

　　在看到BlackMatter Tor站點(diǎn)后，安全研究人員發(fā)現(xiàn)它與現(xiàn)已解散的DarkSide 勒索軟件的Tor站點(diǎn)非常相似。兩個(gè)頁(yè)面共享相似的顏色主題、相似的語(yǔ)言、相似的自稱方式，還包括他們不會(huì)攻擊的目標(biāo)列表。

　　BlackMatter表示，“該項(xiàng)目已將 DarkSide、REvil和LockBit的最佳功能融入其中。”

　　最后，網(wǎng)絡(luò)安全公司Mandiant看到的跡象表明，以前與DarkSide有聯(lián)系的黑客現(xiàn)在正在與BlackMatter合作。“我們已經(jīng)看到一些跡象表明，目前至少有一個(gè)與某些 DARKSIDE 勒索軟件操作有關(guān)的參與者正在與BLACKMATTER保持一致，”Mandiant 金融犯罪分析主管Kimberly Goody說(shuō)?！斑@并不一定令人驚訝，因?yàn)槲覀兘?jīng)?？吹嚼账鬈浖綄俟九c多個(gè)提供商合作?！?/p>

　　雖然許多線索表明這可能是DarkSide的品牌重塑，或者可能是由兩個(gè)團(tuán)體的演員創(chuàng)建的，但在對(duì)勒索軟件樣本進(jìn)行代碼相似性分析之前，我們無(wú)法確定。

　　在解密器中發(fā)現(xiàn)的加密算法表明，臭名昭著的DarkSide勒索軟件團(tuán)伙已重新命名為新的BlackMatter勒索軟件操作，并正在積極對(duì)公司實(shí)體進(jìn)行攻擊。本周，我們知道BlackMatter正瞄準(zhǔn)了多名受害者，贖金要求從3美元到400萬(wàn)美元不等。

　　本周，一名受害者已經(jīng)向BlackMatter支付了400萬(wàn)美元的贖金，以刪除被盜數(shù)據(jù)并獲得Windows和Linux ESXi解密器。

　　在研究新的勒索軟件組織時(shí)，研究人員發(fā)現(xiàn)了來(lái)自BlackMatter受害者的解密器，并將其分享給Emisosft首席技術(shù)官和勒索軟件專家Fabian Wosar。在對(duì)解密器進(jìn)行分析后，Wosar確認(rèn)新的BlackMatter組織正在使用與DarkSide在其攻擊中使用的相同的獨(dú)特加密方法。

　　Wosar說(shuō)，BlackMatter使用的加密程序與DarkSide幾乎相同，包括DarkSide獨(dú)有的自定義Salsa20矩陣。在使用Salsa20 加密算法加密數(shù)據(jù)時(shí)，開(kāi)發(fā)人員提供了一個(gè)由16個(gè)32位字組成的初始矩陣。

　　在加密文件時(shí)，F(xiàn)abian說(shuō)，對(duì)于每個(gè)加密文件，DarkSide不是使用常量字符串、位置、隨機(jī)數(shù)和密鑰，而是用隨機(jī)數(shù)據(jù)填充單詞。然后使用公共RSA密鑰對(duì)該矩陣進(jìn)行加密并存儲(chǔ)在加密文件的頁(yè)腳中。

　　Fabian說(shuō)這個(gè)Salsa20實(shí)現(xiàn)以前只被DarkSide使用，現(xiàn)在是BlackMatter。研究人員還被告知DarkSide使用了其加密器獨(dú)有的RSA-1024，BlackMatter也使用了該加密器算法。

　　雖然沒(méi)有100%的證據(jù)表明BlackMatter是DarkSide行動(dòng)的更名，但許多類似的特征讓人很難相信事實(shí)并非如此。當(dāng)我們采用相同的加密算法、BlackMatter網(wǎng)站上使用的類似語(yǔ)言、媒體關(guān)注的類似渴望以及他們的TOR網(wǎng)站的類似顏色主題時(shí)，最終都指向BlackMatter非常非常疑似是新的DarkSide。

　　不幸的是，這是一個(gè)以多種設(shè)備架構(gòu)為目標(biāo)的高技能團(tuán)隊(duì)，包括Windows、Linux和ESXi服務(wù)器。因此，我們需要密切關(guān)注這個(gè)新組織，因?yàn)樗麄儗?lái)肯定會(huì)對(duì)知名目標(biāo)進(jìn)行攻擊。