*BlackMatter Ransomware supostamente esta encerrando; Última análise liberada
Uma análise de novos exemplos de ransomware BlackMatter para Windows e Linux revelou até que ponto os operadores adicionaram continuamente novos recursos e capacidades de criptografia em iterações sucessivas ao longo de um período de três meses.
Nada menos que 10 Windows e duas versões do Linux do ransomware foram observados até o momento, disse o pesquisador de ameaças do Grupo-IB Andrei Zhdanov em um relatório compartilhado com o Hacker News, apontando as mudanças na implementação do algoritmo de criptografia ChaCha20 usado para criptografar o conteúdo dos arquivos.
BlackMatter surgiu em julho de 2021 se gabando de incorporar as "melhores características do DarkSide, REvil e LockBit" e é considerado o sucessor do DarkSide, que desde então fechou junto com o REvil após o escrutínio da polícia. Operando como um modelo de ransomware-as-a-service (RaaS), acredita-se que o BlackMatter tenha atingido mais de 50 empresas nos Estados Unidos, Áustria, Itália, França, Brasil, entre outros.
Além do mais, o agente da ameaça cria uma sala de bate-papo exclusiva do Tor para comunicação para cada vítima, um link anexado ao arquivo de texto que contém o pedido de resgate. A BlackMatter também é conhecida por dobrar o valor do resgate quando o ultimato expira, antes de passar a publicar os documentos roubados caso a vítima se recuse a pagar.
De acordo com pesquisadores de segurança da unidade de contra-ransomware da Microsoft, DarkSide e sua rebrand BlackMatter é obra de um grupo de cibercrime rastreado como FIN7 , que foi recentemente desmascarado operando uma empresa de fachada chamada Bastion Secure para atrair profissionais de tecnologia com o objetivo de lançar ataques de ransomware.
“Quando outros parâmetros são definidos ou quaisquer parâmetros estão ausentes, o sistema é totalmente criptografado de acordo com as definições de configuração”, observou Zhdanov. "Ao concluir a criptografia, o ransomware cria uma imagem BMP alertando que os arquivos foram criptografados, que ele define como papel de parede da área de trabalho. A partir da versão 1.4, o ransomware também pode imprimir o texto do pedido de resgate na impressora padrão da vítima . "
As variantes do Linux, por outro lado, são projetadas para visar servidores VMware ESXi, apresentando a capacidade de encerrar máquinas virtuais e eliminar processos específicos, incluindo o firewall, antes de iniciar a criptografia de dados.
As descobertas foram feitas no momento em que o VX-Underground, um portal que hospeda código-fonte de malware, amostras e documentos, revelou que o grupo está desligando o plugue de suas operações "após pressão das autoridades locais". A postagem compartilhada no site do RaaS também destacou que “uma parte da equipe não está mais disponível, após as últimas notícias”.
Não está imediatamente claro a que as "últimas notícias" se referem, mas implica uma forte ligação com a operação coordenada de aplicação da lei internacional no final do mês passado, que viu 12 indivíduos presos por orquestrar ataques de ransomware contra 1.800 vítimas em 71 países desde 2019.
Em um comunicado emitido em 18 de outubro de 2021, a Cybersecurity and Infrastructure Security Agency (CISA), o Federal Bureau of Investigation (FBI) e a National Security Agency (NSA) alertaram que o grupo de ransomware BlackMatter tem como alvo "várias" organizações consideradas infraestrutura crítica, incluindo duas entidades do setor de alimentos e agricultura dos EUA.
Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Postar um comentário