Pesquisadores de segurança cibernética acabaram de relatar uma nova gangue de ransomware, chamado BlackMatter, alegando ser o sucessor de REvil.
relacionado: Kaseya obtém a chave de descriptografia universal para REvil Ransomware
Um novo reprodutor de ransomware: BlackMatter
O ransomware BlackMatter está atualmente visando empresas com receita de pelo menos $100 milhão. Os cibercriminosos dizem que não visam hospitais, indústria de defesa, organizações sem fins lucrativos e governamentais, bem como instalações de infraestrutura crítica, como usinas nucleares e instalações de tratamento de água.
A nova gangue de ransomware também está procurando afiliados e colaboradores, como evidenciado por anúncios postados nos fóruns clandestinos Exploit e XSS. Vale ressaltar que os anúncios de ransomware foram proibidos nos dois fóruns. Para contornar isso, os cibercriminosos não estão anunciando seu serviço como um Raas. Em vez de, eles afirmam que estão procurando recrutar “corretores de acesso inicial”. Este termo é normalmente usado para descrever pessoas que oferecem acesso a redes corporativas hackeadas.
BlackMatter Ransomware visa empresas específicas
Como é evidente pelos anúncios, a gangue BlackMatter está especificamente interessada em redes corporativas de ponta que pertencem a empresas com receita superior $100 milhões por ano. As redes, que deve estar localizado nos EUA, o Reino Unido, Canadá, ou Austrália, deveria ter entre 500 e 15,000 anfitriões. A gangue do cibercrime está pronta para pagar até $100,000 para acesso exclusivo. Uma vez do acesso ser obtido, a gangue assumirá os sistemas internos do alvo para executar sua carga útil de criptografia de arquivos. O ransomware BlackMatter afirma ser capaz de criptografar várias versões e arquiteturas de sistemas operacionais, como o Windows, Linux (Ubuntu, Debian, CentOS), VMWare ESXi 5+ endpoints virtuais, e dispositivos NAS, como Synology, FreeNAS, etc.
De acordo com Futuro registrado, BlackMatter também opera um site de vazamento, onde os dados de vítimas roubadas de empresas hackeadas devem ser publicados, a menos que o pedido de resgate seja atendido. O local do vazamento não apresenta nenhuma informação no momento, o que significa que o grupo ainda não lançou nenhum ataque. Contudo, de acordo com as informações disponíveis até agora, pesquisadores acreditam que há uma conexão entre BlackMatter e DarkSide ransomware.
Este não é o único player de ransomware que surgiu recentemente. Algumas semanas atrás, Fortinet relatou a descoberta do chamado Devil ransomware. O novo ransomware foi descoberto no início de junho, quando a Fortinet evitou um ataque de ransomware visando um de seus clientes.