融合DarkSide和REvil更名BlackMatter勒索王回歸?目標鎖定收入1億美元以上公司
2021-08-02
來源:網(wǎng)絡(luò)安全應(yīng)急技術(shù)國家工程實驗室
分析師發(fā)現(xiàn),一個新的勒索軟件團伙本周開始運作,聲稱結(jié)合了現(xiàn)已解散的 Darkside和REvil勒索軟件組織的最佳功能。
該新勒索組織名為BlackMatter(記住這個名字,新的勒索王出現(xiàn),勒索江湖又將腥風血雨),目前正在通過在兩個名為Exploit和XSS的網(wǎng)絡(luò)犯罪論壇上發(fā)布的廣告招募附屬機構(gòu)(合作者)。
盡管自5月以來,這兩個論壇上都禁止了勒索軟件操作的廣告 ,但 BlackMatter組織并未直接為其勒索軟件即服務(wù) (RaaS) 產(chǎn)品做廣告,而是發(fā)布了招募“初始訪問經(jīng)紀人”的廣告,該術(shù)語用于描述可以訪問被黑企業(yè)網(wǎng)絡(luò)的個人。
根據(jù)該團伙的廣告,BlackMatter有興趣與經(jīng)紀人合作,他們可以授予其訪問頂級企業(yè)網(wǎng)絡(luò)的權(quán)限——需要這些公司的年收入為1億美元或以上。
根據(jù)BlackMatter團伙的說法,目標受害者需要擁有500到15000臺主機,并且位于美國、英國、加拿大或澳大利亞。
BlackMatter團隊表示愿意支付高達100000美元以獨家訪問這些高價值網(wǎng)絡(luò)中的任何一個。一旦小組找到合適的目標,他們將使用經(jīng)紀人授予的訪問權(quán)限來部署接管公司內(nèi)部系統(tǒng)的工具,然后部署他們的文件加密負載。
該小組吹噓能夠加密不同的操作系統(tǒng)版本和架構(gòu)。包括 Windows 系統(tǒng)(通過 SafeMode)、Linux(Ubuntu、Debian、CentOS)、VMWare ESXi 5+ 虛擬端點和網(wǎng)絡(luò)附加存儲 (NAS) 設(shè)備(例如 Synology、OpenMediaVault、FreeNAS 和 TrueNAS)。
BlackMatter還經(jīng)營著一個暗網(wǎng)泄密網(wǎng)站
就像當今大多數(shù)頂級勒索軟件團伙一樣,BlackMater在暗網(wǎng)上也運營著一個網(wǎng)站——稱為泄密網(wǎng)站——如果被黑客入侵的公司不同意支付解密文件的費用,它會在那里發(fā)布他們從受害者那里竊取的數(shù)據(jù)。
該站點目前是空的,研究人員確認BlackMatter組僅在本周啟動,尚未進行任何入侵。在網(wǎng)站的某個部分,BlackMatter組織還列出了一系列他們不打算攻擊的目標。這包括[原文]:
醫(yī)院。
關(guān)鍵基礎(chǔ)設(shè)施(核電站、發(fā)電廠、水處理設(shè)施)。
石油和天然氣工業(yè)(管道、煉油廠)。
國防工業(yè)。
非盈利公司。
政府部門。
BlackMatter團伙聲稱,如果來自這些垂直行業(yè)的受害者被感染,他們計劃免費解密他們的數(shù)據(jù)。這部分與之前在 Darkside團伙泄漏現(xiàn)場可用的部分非常相似,后者在美國管道運營商Colonial遭到襲擊后停止運營。
BlackMatter是DarkSide還是REvil?
從上面兩個鏈接,我們知道DarkSide和REvil勒索團隊都偃旗息鼓,神秘關(guān)閉。那么新成立的BlackMatte到底是DarkSide還是REvil?
安全研究人員發(fā)現(xiàn)的信息以及網(wǎng)站和合作伙伴中的相似之處可能表明BlackMatter已經(jīng)招募或由之前參與過DarkSide和REvil勒索軟件操作的威脅行為者創(chuàng)建。
由于勒索軟件團伙通常會更名以逃避執(zhí)法,當我們于2020年8月首次報道 DarkSide時,一些安全研究人員和執(zhí)法部門認為REvil正在更名為新的 DarkSide行動。
然而,這兩個幫派繼續(xù)并肩作戰(zhàn)了將近一年,直到DarkSide襲擊了Colonial Pipeline。感受到美國政府和執(zhí)法部門的全面壓力,DarkSide于5月關(guān)閉了其運營。
DarkSide的關(guān)閉首先是由REvil的面向公眾的代表Unknown報道的,他在一個黑客論壇上發(fā)布了有關(guān)它的信息。這似乎表明兩個團隊的上層有交匯,或隸屬于同一個大集團之下。
兩個月后, REvil在通過零日Kaseya VSA漏洞對全球托管服務(wù)提供商進行大規(guī)模攻擊后關(guān)閉。與DarkSide一樣,REvil也感受到來自美國政府 和國際執(zhí)法部門的巨大壓力。外界普遍猜測是俄羅斯政府讓他們關(guān)閉并消失一段時間。
在看到BlackMatter Tor站點后,安全研究人員發(fā)現(xiàn)它與現(xiàn)已解散的DarkSide 勒索軟件的Tor站點非常相似。兩個頁面共享相似的顏色主題、相似的語言、相似的自稱方式,還包括他們不會攻擊的目標列表。
BlackMatter表示,“該項目已將 DarkSide、REvil和LockBit的最佳功能融入其中?!?/p>
最后,網(wǎng)絡(luò)安全公司Mandiant看到的跡象表明,以前與DarkSide有聯(lián)系的黑客現(xiàn)在正在與BlackMatter合作?!拔覀円呀?jīng)看到一些跡象表明,目前至少有一個與某些 DARKSIDE 勒索軟件操作有關(guān)的參與者正在與BLACKMATTER保持一致,”Mandiant 金融犯罪分析主管Kimberly Goody說?!斑@并不一定令人驚訝,因為我們經(jīng)??吹嚼账鬈浖綄俟九c多個提供商合作?!?/p>
雖然許多線索表明這可能是DarkSide的品牌重塑,或者可能是由兩個團體的演員創(chuàng)建的,但在對勒索軟件樣本進行代碼相似性分析之前,我們無法確定。
在解密器中發(fā)現(xiàn)的加密算法表明,臭名昭著的DarkSide勒索軟件團伙已重新命名為新的BlackMatter勒索軟件操作,并正在積極對公司實體進行攻擊。本周,我們知道BlackMatter正瞄準了多名受害者,贖金要求從3美元到400萬美元不等。
本周,一名受害者已經(jīng)向BlackMatter支付了400萬美元的贖金,以刪除被盜數(shù)據(jù)并獲得Windows和Linux ESXi解密器。
在研究新的勒索軟件組織時,研究人員發(fā)現(xiàn)了來自BlackMatter受害者的解密器,并將其分享給Emisosft首席技術(shù)官和勒索軟件專家Fabian Wosar。在對解密器進行分析后,Wosar確認新的BlackMatter組織正在使用與DarkSide在其攻擊中使用的相同的獨特加密方法。
Wosar說,BlackMatter使用的加密程序與DarkSide幾乎相同,包括DarkSide獨有的自定義Salsa20矩陣。在使用Salsa20 加密算法加密數(shù)據(jù)時,開發(fā)人員提供了一個由16個32位字組成的初始矩陣。
在加密文件時,F(xiàn)abian說,對于每個加密文件,DarkSide不是使用常量字符串、位置、隨機數(shù)和密鑰,而是用隨機數(shù)據(jù)填充單詞。然后使用公共RSA密鑰對該矩陣進行加密并存儲在加密文件的頁腳中。
Fabian說這個Salsa20實現(xiàn)以前只被DarkSide使用,現(xiàn)在是BlackMatter。研究人員還被告知DarkSide使用了其加密器獨有的RSA-1024,BlackMatter也使用了該加密器算法。
雖然沒有100%的證據(jù)表明BlackMatter是DarkSide行動的更名,但許多類似的特征讓人很難相信事實并非如此。當我們采用相同的加密算法、BlackMatter網(wǎng)站上使用的類似語言、媒體關(guān)注的類似渴望以及他們的TOR網(wǎng)站的類似顏色主題時,最終都指向BlackMatter非常非常疑似是新的DarkSide。
不幸的是,這是一個以多種設(shè)備架構(gòu)為目標的高技能團隊,包括Windows、Linux和ESXi服務(wù)器。因此,我們需要密切關(guān)注這個新組織,因為他們將來肯定會對知名目標進行攻擊。