Connect with us

Technologie

Nouveau gang ransomware spins hors de DarkSide

Published

on


Un groupe de ransomwares a émergé pour cibler les grandes entreprises avec des revenus de 100 millions de dollars ou plus par an, selon les analystes de Recorded Future.

Postulé comme un successeur des groupes DarkSide et REvil aujourd’hui disparus, BlackMatter a été fondé en juillet 2021 et est actuellement en train de recruter des affiliés pour son programme de ransomware-as-service (RaaS) à travers des publicités publiées sur deux forums de cybercriminalité, Exploit et XSS.

Alors que les publicités pour les opérations de ransomware ont été bannies des deux forums depuis mai 2021, BlackMatter a contourné cela en publiant des annonces pour le recrutement de « courtiers d’accès initial », ou ceux ayant accès à des réseaux d’entreprise piratés.

Selon les publicités, le groupe BlackMatter est à la recherche de courtiers qui peuvent l’aider à accéder à des réseaux d’entreprises de grande valeur qui ont trois caractéristiques: des revenus de 100 millions de dollars par an ou plus par an; réseaux de 500 à 15 000 hôtes; et sont situés aux États-Unis, au Royaume-Uni, au Canada ou en Australie.

Le groupe a ajouté qu’il est prêt à payer entre 3 000 $ et 100 000 $ pour l’accès à ces réseaux, ainsi qu’une part de toute rançon potentielle obtenue.

Selon Recorded Future, le groupe fournit un ransomware capable d’infecter une variété de versions et d’architectures de systèmes d’exploitation, y compris Windows, Linux, les points de terminaison virtuels VMWare ESXi 5 + et les périphériques de stockage rattaché au réseau (NAS).

« Le groupe de ransomware BlackMatter semble s’associer à des acteurs qui peuvent fournir un accès initial aux organisations de victimes. Ils ont mis en œuvre des exigences pour ces partenaires, susceptibles de filtrer les chercheurs en sécurité et les forces de l’ordre, en particulier maintenant compte tenu de l’attention importante des médias », a déclaré Kimberly Goody, directrice de l’analyse de la criminalité financière chez Mandiant Threat Intelligence.

« Des exemples de ces exigences incluent avoir un profil plus ancien sur le forum avec un nombre minimum de messages, fournir une preuve de travail antérieur avec un autre ransomware ou fournir une confirmation des accès à au moins deux grandes entreprises dont les revenus sont plus élevés que 100 millions de dollars. »

Comme les gangs ransomware ont tendance à se renommer pour échapper à l’application de la loi, les chercheurs en sécurité spéculent sur les liens entre BlackMatter et d’autres groupes, à savoir REvil et DarkSide.

Les acteurs derrière le groupe REvil, par exemple, qui était à l’origine de la récente attaque très médiatisée sur Kaseya au début du mois de juillet, sont considérés comme les mêmes acteurs que ceux derrière une vieille souche ransomware connue sous le nom de GandCrab.

Alors qu’à un moment donné, certains chercheurs pensaient que REvil était en cours de re-marque en tant que DarkSide, qui a émergé pour la première fois en août 2020, les deux ont continué à fonctionner côte à côte pendant près d’un an jusqu’à ce que ce dernier attaque Colonial Pipeline en mai 2021.

DarkSide et REvil ont tous deux disparu depuis leurs attaques respectives contre Colonial Pipeline et Kaseya, bien que la raison exacte pour laquelle ils sont entrés dans la clandestinité n’ait pas été confirmée.

Les chercheurs en sécurité ont souligné que le site Tor de BlackMatter ressemble fortement à celui de DarkSide, notant l’utilisation d’un langage similaire et l’engagement déclaré de ne pas attaquer certaines cibles.

Selon le site de DarkMatter, le groupe s’est engagé à ne pas attaquer certains secteurs ou organisations. Cela comprend les hôpitaux, les infrastructures essentielles comme les centrales nucléaires ou les usines de traitement de l’eau, l’industrie pétrolière et gazière, l’industrie de la défense, les organismes sans but lucratif et le secteur public. Il a ajouté: « Si votre entreprise est sur cette liste, vous pouvez nous demander un décryptage gratuit. »

Cependant, bien qu’aucune victime ne soit actuellement répertoriée sur le site, BleepingComputer a été en mesure de confirmer qu’il y a des attaques actives en cours, et qu’au moins une victime a déjà payé 4 millions de dollars aux acteurs de la menace.

BleepingComputer a rapporté plus tard qu’il avait trouvé un décrypteur d’une victime BlackMatter, dont l’analyse a montré qu’il utilisait les mêmes méthodes de cryptage uniques que DarkSide a utilisé.

Une copie du ransomware BlackMatter a également été téléchargée par le scientifique McAfee Christiaan Beek sur MalwareBazaarDatabase du site de suivi de la cybercriminalité Abuse.ch. Après avoir examiné le code, d’autres entreprises de sécurité ont vérifié que les similitudes suggèrent fortement que BlackMatter est un re-branding de DarkSide.

« Nous avons vu des indications qui suggèrent actuellement qu’au moins un acteur connecté à certaines opérations de ransomware DarkSide s’aligne sur BlackMatter. Ce n’est pas nécessairement surprenant car nous voyons souvent des affiliés de ransomware s’associer à plusieurs fournisseurs », a déclaré Goody.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance