Hai chương trình ransomware-as-service (RaaS) mới đã xuất hiện trên radar mối đe dọa trong tháng này, với một nhóm tuyên bố là người kế nhiệm DarkSide và REvil, hai tổ chức ransomware khét tiếng đã rời mạng lưới sau các cuộc tấn công lớn vào Colonial Pipeline và Kaseya trong vài tháng qua.
“Dự án đã kết hợp các tính năng tốt nhất của DarkSide, REvil và LockBit”, các nhà điều hành đằng sau nhóm BlackMatter mới cho biết trong blog công khai darknet của họ, đưa ra lời hứa sẽ không tấn công các tổ chức trong một số ngành, bao gồm chăm sóc sức khỏe, cơ sở hạ tầng quan trọng, dầu và các lĩnh vực khí đốt, quốc phòng, phi lợi nhuận và chính phủ.
Theo Flashpoint, kẻ đe dọa BlackMatter đã đăng ký một tài khoản trên diễn đàn tiếng Nga XSS and Exploit vào ngày 19 tháng 7, nhanh chóng theo sau nó với một bài đăng cho biết họ đang tìm cách mua quyền truy cập vào các mạng công ty bị nhiễm bao gồm từ 500 đến 15.000 máy chủ trong Hoa Kỳ, Canada, Úc và Anh với doanh thu hơn 100 triệu đô la một năm, có khả năng ám chỉ một hoạt động ransomware quy mô lớn.
“Kẻ gây ra mối đe dọa đã gửi 4BTC (khoảng 150.000 USD) vào tài khoản ký quỹ của họ. Số tiền gửi lớn trên diễn đàn cho thấy mức độ nghiêm trọng của kẻ đe dọa”, các nhà nghiên cứu của Flashpoint nói trong một báo cáo. “BlackMatter không công khai tuyên bố rằng họ là nhà điều hành tập thể ransomware, về mặt kỹ thuật, điều này không phá vỡ các quy tắc của diễn đàn, mặc dù ngôn ngữ bài đăng của họ, cũng như mục tiêu của họ cho thấy rõ ràng rằng họ là nhà điều hành tập thể ransomware.”
Vào ngày 27 tháng 7, nhóm được cho là đã bắt đầu tích cực tuyển dụng các đối tác và chi nhánh sử dụng máy chủ Jabber của diễn đàn Exploit để đưa ra thông báo tuyển dụng của họ, trong đó họ tuyên bố đang tìm kiếm những người kiểm tra thâm nhập có kinh nghiệm hiểu biết về hệ thống Windows và Linux cũng như các nhà cung cấp quyền truy cập ban đầu. , những người sẽ bán quyền truy cập của họ để lấy phần trăm lợi nhuận.
Tháng trước, công ty bảo mật doanh nghiệp Proofpoint tiết lộ cách các băng đảng ransomware ngày càng mua quyền truy cập từ các nhóm tội phạm mạng độc lập, những kẻ xâm nhập vào các mục tiêu chính và sau đó cung cấp cho chúng một điểm vào để triển khai các hoạt động mã hóa và đánh cắp dữ liệu để đổi lấy một phần lợi nhuận bất chính.
Sự xuất hiện của BlackMatter trùng với sự sụp đổ của DarkSide và REvil sau sự cố ransomware được công bố rộng rãi về Đường ống Thuộc địa, JBS, và Kaseya, làm dấy lên suy đoán rằng các nhóm cuối cùng có thể đổi thương hiệu và tái xuất hiện dưới một danh tính mới.
Mặc dù bằng chứng cụ thể kết nối BlackMatter và các nhóm hiện không còn tồn tại là rất ít, nhưng “các quy tắc tương tự xung quanh việc nhắm mục tiêu” và thực tế là REvil trước đây đã gắn nhãn khóa Windows Registry của họ là “BlackLivesMatter” cho thấy sự tin cậy cho các lý thuyết rằng REvil có thể đã thực sự gián đoạn tạm thời và biến mất ngầm sau làn sóng tấn công cấp cao.
Flashpoint nói: “Có thể những kẻ bắt chước đang cố tình bắt chước hành vi của REvil để có được sự tín nhiệm ngay lập tức vì bị cáo buộc là tái sinh của REvil.
Tuy nhiên, BlackMatter không phải là người mới duy nhất. Công ty bảo mật S2W Labs của Hàn Quốc tuần trước đã kết thúc tốt đẹp Haron, một kẻ mới nhất tham gia vào hệ sinh thái tội phạm mạng đã xuất hiện vào tháng này và vay mượn nhiều từ các biến thể ransomware trong quá khứ như Thanos và Avaddon hiện đã ngừng sản xuất.
