В этом месяце на радаре кибер-угроз появились две новые группы ransomware-as-service (RaaS), причем одна группа заявила, что является преемником DarkSide и REvil, двух печально известных синдикатов шифровальщиков, которые прекратили деятельность после крупных атак на Colonial Pipeline и Kaseya в последние несколько месяцев.
«Проект вобрал в себя лучшие черты DarkSide, REvil и LockBit» - заявили операторы, стоящие за новой группой BlackMatter, в своем блоге в Darknet, пообещав не наносить удары по организациям нескольких отраслей, включая здравоохранение, критическую инфраструктуру, нефтегазовую промышленность, оборону, некоммерческий и правительственный сектора.
По данным Flashpoint, группа BlackMatter зарегистрировала аккаунт на русскоязычных форумах XSS и Exploit 19 июля, после чего быстро опубликовала сообщение, в котором говорится, что собирается приобрести доступ к зараженным корпоративным сетям, включающим от 500 до 15 000 узлов в США, Канаде, Австралии и Великобритании с доходом более $100 млн. в год, что потенциально намекает на масштабную операцию по распространению программ-шифровальщиков.
«Хакеры внесли 4BTC (примерно $150 000) на свой счет условного депонирования. Крупные депозиты на форуме указывают на серьезность намерений злоумышленников» - сообщается в отчете исследователей Flashpoint. «BlackMatter открыто не заявляет, что является коллективным оператором шифровальщика, что технически не нарушает правила форумов, хотя язык их сообщений а также их цели ясно указывают на то, что они являются оператором шифровальщика».
27 июля группа начала активную вербовку партнеров и аффилированных лиц, используя Jabber-сервер форума Exploit для распространения своего сообщения о наборе, в котором они утверждают, что ищут опытных пентестеров, разбирающихся в системах Windows и Linux, а также поставщиков начального доступа, которые продадут свой доступ за процент от прибыли.
В прошлом месяце компания Proofpoint, специализирующаяся на корпоративной безопасности, рассказала о том, что банды вымогателей все чаще покупают доступ к инфраструктуре у сторонних кибер-преступных групп, которые проникают в крупные объекты, а затем предоставляют точку входа для проведения операций по краже и шифрованию данных в обмен на долю от выкупа.
Появление BlackMatter совпадает с исчезновением DarkSide и REvil после широко разрекламированных инцидентов с шифровальщиками в уомпаниях Colonial Pipeline, JBS, и Kaseya, что порождает предположения о том, что эти группы могут в конечном итоге провести ребрендинг и вновь появиться под новым именем.
Хотя конкретных доказательств связи между BlackMatter и ныне не существующими хакерскими группами мало, «схожие принципы выбора целей» и тот факт, что REvil ранее обозначила свой ключ реестра Windows как «BlackLivesMatter», придают уверенности теории о том, что REvil действительно могла взять временный перерыв и уйти в подполье после волны громких атак.
«Возможно, подражатели намеренно имитируют поведение REvil, чтобы сразу же завоевать доверие, якобы являясь реинкарнацией REvil» - считают в Flashpoint.
Однако BlackMatter - не единственный новичок. На прошлой неделе южнокорейская компания S2W Labs сняла покровы с Haron, еще одного нового участника экосистемы кибер-преступности, появившегося в этом месяце и во многом продолжателя традиций прошлых вариантов программ-шифровальщиков, таких как Thanos и ныне неактивного Avaddon.
Источник: https://thehackernews.com
