I ricercatori della sicurezza informatica hanno appena segnalato una nuova banda di ransomware, chiamato BlackMatter, affermando di essere il successore di REvil.
Correlata: Kaseya ottiene la chiave di decrittazione universale per REvil ransomware
Un nuovo giocatore ransomware: BlackMatter
Il ransomware BlackMatter sta attualmente prendendo di mira le aziende con entrate di almeno $100 milione. I criminali informatici affermano che non prenderanno di mira gli ospedali, industria della difesa, organizzazioni senza scopo di lucro e governative, così come infrastrutture critiche, come le centrali nucleari e gli impianti di trattamento delle acque.
Anche la nuova gang del ransomware cerca affiliati e collaboratori, come evidente dagli annunci pubblicati sui forum sotterranei Exploit e XSS. È interessante notare che gli annunci di ransomware sono stati banditi sui due forum. Per aggirare questo, i criminali informatici non pubblicizzano il loro servizio come a RAAS. Invece, affermano che stanno cercando di reclutare "broker di accesso iniziale". Questo termine viene in genere utilizzato per descrivere le persone che offrono accesso a reti aziendali compromesse.
BlackMatter ransomware prende di mira aziende specifiche
Come evidente dagli annunci, la banda BlackMatter è particolarmente interessata alle reti aziendali apicali che appartengono a società con entrate superiori a $100 milioni all'anno. Le reti, che dovrebbe trovarsi negli Stati Uniti, Regno Unito, Canada, o Australia, dovrebbe avere tra 500 e 15,000 host. La banda del crimine informatico è pronta a pagare fino a $100,000 per l'accesso esclusivo. Una volta ottenuta tale accesso, la banda assumerà i sistemi interni del bersaglio per eseguire il loro payload di crittografia dei file. Il ransomware BlackMatter afferma di essere in grado di crittografare varie versioni e architetture del sistema operativo, ad esempio Windows, Linux (Ubuntu, Debian, CentOS), VMWare ESXi 5+ endpoint virtuali, e dispositivi NAS come Synology, LiberoNAS, etc.
Secondo Futuro registrato, BlackMatter gestisce anche un sito di perdite, dove dovrebbero essere pubblicati i dati delle vittime rubate di aziende hackerate, a meno che la richiesta di riscatto non venga soddisfatta. Il sito della perdita non contiene alcuna informazione al momento, il che significa che il gruppo non ha ancora lanciato alcun attacco. Tuttavia, secondo le informazioni finora disponibili, i ricercatori ritengono che ci sia una connessione tra BlackMatter e DarkSide ransomware.
Questo non è l'unico giocatore di ransomware emerso di recente. Poche settimane fa, Fortinet ha riportato la scoperta del cosiddetto ransomware diavolo. Il nuovo ransomware è stato scoperto all'inizio di giugno, quando Fortinet ha impedito un attacco ransomware contro uno dei suoi clienti.