BlackMatter va sur le disque sur darkside et REvil liens

Le gang ransomware BlackMatter a confirmé que, en dépit de s’inspirer de l’opération DarkSide et d’avoir travaillé avec certains de ses affiliés dans le passé, il est son propre projet distinct.

BlackMatter, qui a été officiellement fondée en juillet 2021, est en train de recruter des affiliés pour son programme de ransomware-as-service (RaaS), et fait activement de la publicité pour les courtiers d’accès initial qui peuvent l’aider à infiltrer les réseaux d’entreprise de grande valeur.

Il cible spécifiquement les grandes entreprises avec trois caractéristiques principales: des revenus de 100 millions de dollars par an ou plus, des réseaux avec 500 à 15 000 hôtes et qui sont situés aux États-Unis, au Royaume-Uni, au Canada ou en Australie.

Comme les gangs ransomware ont tendance à se renommer pour échapper à l’application de la loi, les chercheurs en sécurité ont spéculé sur les liens entre BlackMatter et d’autres groupes, à savoir REvil et DarkSide.

Les acteurs derrière REvil, par exemple, qui était responsable de l’attaque très médiatisée sur Kaseya au début du mois de juillet, sont considérés comme les mêmes acteurs que ceux derrière une vieille souche ransomware connue sous le nom de GandCrab.

Alors qu’à un moment donné, certains chercheurs pensaient que REvil était rebaptisé DarkSide, qui a émergé pour la première fois en août 2020, les deux ont continué à fonctionner côte à côte pendant près d’un an jusqu’à ce que ce dernier attaque Colonial Pipeline en mai 2021.

DarkSide et REvil ont tous deux disparu depuis leurs attaques respectives contre Colonial Pipeline et Kaseya, bien que la raison exacte pour laquelle ils sont entrés dans la clandestinité n’ait pas été confirmée.

Dans une interview avec Dmitry Smilyanets, analyste expert en renseignement sur les menaces de Recorded Future, qui a été publiée dans Le record, un représentant de BlackMatter a déclaré: « Nous connaissons l’équipe de DarkSide pour avoir travaillé ensemble dans le passé, mais nous ne sommes pas eux, bien que nous soyons intimes de leurs idées. »

Le représentant a ajouté que BlackMatter a tiré un certain nombre d’enseignements de la sortie de REvil, DarkSide et d’autres du marché raas.

« Nous pensons que, dans une large mesure, leur sortie du marché était associée à la situation géopolitique sur la scène mondiale », ont-ils déclaré. « Tout d’abord, c’est la crainte des États-Unis et de leur planification d’opérations cyber offensives, ainsi que d’un groupe de travail bilatéral sur la cyber-extorsion. Nous surveillons la situation politique et recevons des informations d’autres sources.

« Lors de la conception de notre infrastructure, nous avons tenu compte de tous ces facteurs et nous pouvons dire que nous pouvons résister aux capacités cyber offensives des États-Unis. Combien de temps? L’heure nous le dira. Pour l’instant, nous nous concentrons sur le travail à long terme. Nous modérons également les cibles et ne permettrons pas que notre projet soit utilisé pour chiffrer les infrastructures essentielles, ce qui attirera une attention indésirable sur nous.

Le représentant a ajouté que les attaques à grande échelle comme celles contre Colonial Pipeline étaient « un facteur clé pour la fermeture » d’autres gangs de ransomware, c’est pourquoi ils ont décidé d’interdire d’attaquer certaines cibles, y compris les hôpitaux, les infrastructures essentielles telles que les centrales nucléaires ou les usines de traitement de l’eau, et l’industrie pétrolière et gazière: « Nous ne voyons aucun sens à les attaquer. »

Le représentant de BlackMatter a déclaré que le groupe avait également pris le temps d’étudier spécifiquement les opérations DarkSide, REvil et LockBit avant de commencer son propre projet, ajoutant qu’il avait intégré les forces de chaque projet dans les siennes.

« De REvil – SafeMode, leur implémentation était faible et pas bien pensée, nous avons développé l’idée et l’avons complètement mise en œuvre. Nous avons également implémenté la version PowerShell de la variante ransomware compte tenu de l’implémentation REvil », ont-ils déclaré.

« De LockBit – une approche de l’implémentation de la base de code, nous avons pris certaines choses à partir de là, principalement de petites choses.

« De DarkSide – tout d’abord, c’est l’idée d’usurpation d’identité (la capacité du chiffreur à utiliser le compte d’administrateur de domaine pour chiffrer les lecteurs partagés avec un maximum de droits), nous avons également emprunté la structure du panneau d’administration à partir de là. »

Le représentant a ajouté que le produit BlackMatter est en cours de développement depuis six mois et a confirmé – conformément à l’évaluation de BleepingComputer selon laquelle des attaques actives sont en cours et qu’au moins une victime a déjà payé 4 millions de dollars aux acteurs de la menace – il est déjà en négociation avec les entreprises qu’il a attaquées.

Interrogé par Smilyanets sur les raisons pour lesquelles les professionnels talentueux de l’équipe BlackMatter utilisent leurs compétences pour des « activités destructrices » et s’ils avaient envisagé des tests de pénétration légaux, le représentant a répondu: « Nous ne nions pas que les affaires sont destructrices, mais si nous look plus profondément – à la suite de ces problèmes, de nouvelles technologies sont développées et créées. Si tout allait bien partout, il n’y aurait pas de place pour un nouveau développement.

« Il y a une vie et nous lui enlevons tout, notre entreprise ne nuit pas aux individus et ne vise que les entreprises, et l’entreprise a toujours la capacité de payer des fonds et de restaurer toutes ses données.

« Nous n’avons pas été impliqués dans des tests légaux à la plume et nous pensons que cela ne pourrait pas apporter la récompense matérielle appropriée. »