Especialistas vincularam BlackCat (ALPHV) ransomware para grupos BlackMatter e DarkSide

BlackCat and DarkSide

Um analista da Recorded Future entrevistou um membro do grupo de hackers por trás do BlackCat (ALPHV) ransomware, que confirmou que o ALPHV está ligado a grupos notórios como BlackMatter e DarkSide.

Deixe-me lembrá-lo que o incomum ransomware ALPHV (também conhecido como BlackCat e BC.a Noberus) escrito em Rust foi descoberto por pesquisadores no final do ano passado. Mesmo assim, especialistas observaram que o criador do ALPHV provavelmente foi anteriormente membro do conhecido grupo de hackers REvil, e o novo malware é um criptografador “muito complexo”.

De volta no final de 2021, após o aparecimento do ALPHV, um representante do grupo de hackers LockBit afirmou que ALPHV é apenas uma reformulação da marca do malware BlackMatter/DarkSide.

BlackCat e DarkSide

Agora, estas declarações foram confirmadas pelo próprio representante da ALPHV:

Em parte, estamos todos conectados ao Gandrevil [GandCrab/REvil], lado negro [BlackMatter/DarkSide], mazegreggor [Labirinto/Egrégor], LockBit e assim por diante, porque estamos “anunciando”. “Publicidade” escreve software, “publicidade” escolhe o nome da marca, todo o programa de afiliados não é nada sem “publicidade”. Não houve mudança de marca ou mistura de pessoal valioso, porque não estamos diretamente relacionados a esses programas afiliados. Digamos apenas que pegamos emprestados seus pontos fortes e eliminamos seus pontos fracos.

Embora os operadores BlackCat afirmem em entrevistas que eles eram apenas parceiros BlackMatter/DarkSide administrando seu próprio negócio de extorsão, alguns especialistas não acreditam nisso. Por exemplo, em resposta às declarações de hackers, Computador bipando cita Brett Callow, analista da Emsisoft, quem tem certeza de que o BlackMatter simplesmente substituiu a equipe de desenvolvimento depois que a Emsisoft encontrou uma vulnerabilidade em seu malware que permitia às vítimas restaurar arquivos gratuitamente.

Embora a ALPHV afirme ser ex-parceira da DS/BM, é mais provável que eles *sejam* DS/BM, apenas tentando se distanciar desta marca devido ao impacto na reputação que receberam após um bug [nós descobrimos] que custaram aos seus parceiros vários milhões de dólares.Callow diz.

Os jornalistas da Bleeping Computer também observam que os hackers não parecem aprender com seus erros. O facto é que a responsabilidade pelos recentes ataques às empresas alemãs Petroleiro e Mabanaft, envolvida no transporte e armazenamento de petróleo e produtos petrolíferos, mentiras com os operadores do criptografador BlackCat/ALPHV. Esses ataques afetaram mais uma vez a cadeia de abastecimento de combustível e causaram muitos problemas.

Isso é bastante irônico, considerando que o grupo DarkSide foi forçado a cessar as suas atividades mais cedo, precisamente após o ataque sobre a maior operadora de gasodutos dos Estados Unidos, Oleoduto Colonial, já que o incidente provocou interrupções no fornecimento de combustível e atraiu muita atenção desnecessária aos hackers.

Quase a mesma coisa aconteceu com o ransomware BlackMatter, que os especialistas quase imediatamente chamaram de rebranding do DarkSide – as agências de aplicação da lei confiscaram os servidores do grupo e forçaram-no a pare de operar novamente.

Agora, depois de atacar Oiltanking e Mabanaft, a facção pode estar novamente sob ataque pelo mesmo motivo. No entanto, em entrevista ao Recorded Future, os hackers disseram que não podem controlar os alvos dos ataques de seus parceiros, e tentar bloquear aqueles que quebram as regras.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *