Analistas futuros registrados descobri um novo grupo de hackers que acompanha o ransomware BlackMatter que ataca grandes empresas e combina o “melhor” recursos dos agora extintos DarkSide e REvil.
Pesquisadores dizem que o grupo está atualmente recrutando “parceiros” através de anúncios em fóruns de hackers Exploit e XSS.
Embora qualquer publicidade relacionada a ransomware foi banido nesses sites desde maio 2021, Os membros do BlackMatter não anunciam Ransomware como serviço (RaaS), mas anúncios para encontrar “corretores de acesso inicial”, aquilo é, pessoas que têm acesso a redes corporativas comprometidas.
De acordo com o anúncio, A BlackMatter só tem interesse em trabalhar com corretoras que possam fornecer acesso às redes de grandes empresas, cuja renda é $100 milhões por ano ou mais. Essa rede deve ter entre 500 e 15,000 anfitriões e devem estar localizados nos Estados Unidos, Reino Unido, Canadá, ou Austrália.
Os hackers escrevem que estão dispostos a pagar até $100,000 para acesso exclusivo a qualquer uma das redes adequadas.
Os membros do grupo se gabam de poder criptografar dados em diferentes versões de sistemas operacionais e arquiteturas. Incluindo: Windows (através do modo de segurança), Linux (Ubuntu, Debian, CentOS), VMWare ESXi 5+, bem como NAS Synology, OpenMediaVault, FreeNAS e TrueNAS.
Como a maioria dos ransomware modernos, o grupo BlackMater já lançou seu próprio site de vazamento de dados, onde os hackers pretendem publicar informações roubadas das vítimas se a empresa hackeada não concordar em pagar o resgate pela descriptografia dos arquivos. Até aqui, o recurso está vazio, mas o BlackMatter se anunciou apenas esta semana e ainda não atacou ninguém.
O site BlackMatter lista alvos que o grupo não vai atacar (em caso de infecção acidental, os dados das vítimas serão descriptografados gratuitamente). A lista inclui:
- hospitais;
- instalações de infraestrutura crítica (Central nuclear, usinas de energia, estações de tratamento de água);
- indústria de petróleo e gás (oleodutos, refinarias de petróleo);
- indústria de defesa;
- organizações sem fins lucrativos;
- Setor governamental.
Analistas da Recorded Future acreditam que o novo grupo pode estar ligado a outro ransomware notório, Lado escuro, que encerrou as operações em maio deste ano após a ataque escandaloso na empresa Colonial Pipeline, que chamou muita atenção das autoridades para os hackers. No entanto, enquanto os pesquisadores não tiram conclusões finais e continuam investigando.