《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 融合DarkSide和REvil更名BlackMatter勒索王回歸?目標鎖定收入1億美元以上公司

融合DarkSide和REvil更名BlackMatter勒索王回歸?目標鎖定收入1億美元以上公司

2021-08-02
來源:網(wǎng)絡(luò)安全應(yīng)急技術(shù)國家工程實驗室
關(guān)鍵詞: 勒索 DarkSide REvil

  分析師發(fā)現(xiàn),一個新的勒索軟件團伙本周開始運作,聲稱結(jié)合了現(xiàn)已解散的 DarksideREvil勒索軟件組織的最佳功能。

  該新勒索組織名為BlackMatter(記住這個名字,新的勒索王出現(xiàn),勒索江湖又將腥風血雨),目前正在通過在兩個名為Exploit和XSS的網(wǎng)絡(luò)犯罪論壇上發(fā)布的廣告招募附屬機構(gòu)(合作者)。

  盡管自5月以來,這兩個論壇上都禁止了勒索軟件操作的廣告 ,但 BlackMatter組織并未直接為其勒索軟件即服務(wù) (RaaS) 產(chǎn)品做廣告,而是發(fā)布了招募“初始訪問經(jīng)紀人”的廣告,該術(shù)語用于描述可以訪問被黑企業(yè)網(wǎng)絡(luò)的個人。

  根據(jù)該團伙的廣告,BlackMatter有興趣與經(jīng)紀人合作,他們可以授予其訪問頂級企業(yè)網(wǎng)絡(luò)的權(quán)限——需要這些公司的年收入為1億美元或以上。

  根據(jù)BlackMatter團伙的說法,目標受害者需要擁有500到15000臺主機,并且位于美國、英國、加拿大或澳大利亞。

  BlackMatter團隊表示愿意支付高達100000美元以獨家訪問這些高價值網(wǎng)絡(luò)中的任何一個。一旦小組找到合適的目標,他們將使用經(jīng)紀人授予的訪問權(quán)限來部署接管公司內(nèi)部系統(tǒng)的工具,然后部署他們的文件加密負載。

  該小組吹噓能夠加密不同的操作系統(tǒng)版本和架構(gòu)。包括 Windows 系統(tǒng)(通過 SafeMode)、Linux(Ubuntu、Debian、CentOS)、VMWare ESXi 5+ 虛擬端點和網(wǎng)絡(luò)附加存儲 (NAS) 設(shè)備(例如 Synology、OpenMediaVault、FreeNAS 和 TrueNAS)。

  BlackMatter還經(jīng)營著一個暗網(wǎng)泄密網(wǎng)站

  就像當今大多數(shù)頂級勒索軟件團伙一樣,BlackMater在暗網(wǎng)上也運營著一個網(wǎng)站——稱為泄密網(wǎng)站——如果被黑客入侵的公司不同意支付解密文件的費用,它會在那里發(fā)布他們從受害者那里竊取的數(shù)據(jù)。

  該站點目前是空的,研究人員確認BlackMatter組僅在本周啟動,尚未進行任何入侵。在網(wǎng)站的某個部分,BlackMatter組織還列出了一系列他們不打算攻擊的目標。這包括[原文]:

  醫(yī)院。

  關(guān)鍵基礎(chǔ)設(shè)施(核電站、發(fā)電廠、水處理設(shè)施)。

  石油和天然氣工業(yè)(管道、煉油廠)。

  國防工業(yè)。

  非盈利公司。

  政府部門。

  BlackMatter團伙聲稱,如果來自這些垂直行業(yè)的受害者被感染,他們計劃免費解密他們的數(shù)據(jù)。這部分與之前在 Darkside團伙泄漏現(xiàn)場可用的部分非常相似,后者在美國管道運營商Colonial遭到襲擊后停止運營。

  BlackMatter是DarkSide還是REvil?

  從上面兩個鏈接,我們知道DarkSide和REvil勒索團隊都偃旗息鼓,神秘關(guān)閉。那么新成立的BlackMatte到底是DarkSide還是REvil?

  安全研究人員發(fā)現(xiàn)的信息以及網(wǎng)站和合作伙伴中的相似之處可能表明BlackMatter已經(jīng)招募或由之前參與過DarkSide和REvil勒索軟件操作的威脅行為者創(chuàng)建。

  由于勒索軟件團伙通常會更名以逃避執(zhí)法,當我們于2020年8月首次報道 DarkSide時,一些安全研究人員和執(zhí)法部門認為REvil正在更名為新的 DarkSide行動。

  然而,這兩個幫派繼續(xù)并肩作戰(zhàn)了將近一年,直到DarkSide襲擊了Colonial Pipeline。感受到美國政府和執(zhí)法部門的全面壓力,DarkSide于5月關(guān)閉了其運營。

  DarkSide的關(guān)閉首先是由REvil的面向公眾的代表Unknown報道的,他在一個黑客論壇上發(fā)布了有關(guān)它的信息。這似乎表明兩個團隊的上層有交匯,或隸屬于同一個大集團之下。

  兩個月后,  REvil在通過零日Kaseya VSA漏洞對全球托管服務(wù)提供商進行大規(guī)模攻擊后關(guān)閉。與DarkSide一樣,REvil也感受到來自美國政府 和國際執(zhí)法部門的巨大壓力。外界普遍猜測是俄羅斯政府讓他們關(guān)閉并消失一段時間。

  在看到BlackMatter Tor站點后,安全研究人員發(fā)現(xiàn)它與現(xiàn)已解散的DarkSide 勒索軟件的Tor站點非常相似。兩個頁面共享相似的顏色主題、相似的語言、相似的自稱方式,還包括他們不會攻擊的目標列表。

  BlackMatter表示,“該項目已將 DarkSide、REvil和LockBit的最佳功能融入其中?!?/p>

  最后,網(wǎng)絡(luò)安全公司Mandiant看到的跡象表明,以前與DarkSide有聯(lián)系的黑客現(xiàn)在正在與BlackMatter合作?!拔覀円呀?jīng)看到一些跡象表明,目前至少有一個與某些 DARKSIDE 勒索軟件操作有關(guān)的參與者正在與BLACKMATTER保持一致,”Mandiant 金融犯罪分析主管Kimberly Goody說?!斑@并不一定令人驚訝,因為我們經(jīng)??吹嚼账鬈浖綄俟九c多個提供商合作?!?/p>

  雖然許多線索表明這可能是DarkSide的品牌重塑,或者可能是由兩個團體的演員創(chuàng)建的,但在對勒索軟件樣本進行代碼相似性分析之前,我們無法確定。

  在解密器中發(fā)現(xiàn)的加密算法表明,臭名昭著的DarkSide勒索軟件團伙已重新命名為新的BlackMatter勒索軟件操作,并正在積極對公司實體進行攻擊。本周,我們知道BlackMatter正瞄準了多名受害者,贖金要求從3美元到400萬美元不等。

  本周,一名受害者已經(jīng)向BlackMatter支付了400萬美元的贖金,以刪除被盜數(shù)據(jù)并獲得Windows和Linux ESXi解密器。

  在研究新的勒索軟件組織時,研究人員發(fā)現(xiàn)了來自BlackMatter受害者的解密器,并將其分享給Emisosft首席技術(shù)官和勒索軟件專家Fabian Wosar。在對解密器進行分析后,Wosar確認新的BlackMatter組織正在使用與DarkSide在其攻擊中使用的相同的獨特加密方法。

  Wosar說,BlackMatter使用的加密程序與DarkSide幾乎相同,包括DarkSide獨有的自定義Salsa20矩陣。在使用Salsa20 加密算法加密數(shù)據(jù)時,開發(fā)人員提供了一個由16個32位字組成的初始矩陣。

  在加密文件時,F(xiàn)abian說,對于每個加密文件,DarkSide不是使用常量字符串、位置、隨機數(shù)和密鑰,而是用隨機數(shù)據(jù)填充單詞。然后使用公共RSA密鑰對該矩陣進行加密并存儲在加密文件的頁腳中。

  Fabian說這個Salsa20實現(xiàn)以前只被DarkSide使用,現(xiàn)在是BlackMatter。研究人員還被告知DarkSide使用了其加密器獨有的RSA-1024,BlackMatter也使用了該加密器算法。

  雖然沒有100%的證據(jù)表明BlackMatter是DarkSide行動的更名,但許多類似的特征讓人很難相信事實并非如此。當我們采用相同的加密算法、BlackMatter網(wǎng)站上使用的類似語言、媒體關(guān)注的類似渴望以及他們的TOR網(wǎng)站的類似顏色主題時,最終都指向BlackMatter非常非常疑似是新的DarkSide。

  不幸的是,這是一個以多種設(shè)備架構(gòu)為目標的高技能團隊,包括Windows、Linux和ESXi服務(wù)器。因此,我們需要密切關(guān)注這個新組織,因為他們將來肯定會對知名目標進行攻擊。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。