Ransomware DarkSide retoma operações como BlackMatter

Views: 64
0 0
Read Time:2 Minute, 13 Second

Embora não seja possível provar 100% ele seja uma reformulação do ransomware que atacou a Colonial Pipeline, semelhanças levam a acreditar que seja do mesmo grupo

Algoritmos de criptografia encontrados em um descriptografador revelam que a conhecida gangue do ransomware DarkSide retomou as atividades por meio de uma nova operação rebatizada de BlackMatter que está ativamente executando ataques a empresas.

Depois de atacar a Colonial Pipeline, dona do maior oleoduto de combustíveis da costa leste dos Estados Unidos, o grupo DarkSide enfrentou uma “grande caçada” por parte da polícia internacional e do governo dos EUA. Em maio, a operação do DarkSide foi encerrada repentinamente após os hackers perderem o acesso a seus servidores e a carteira de criptomoedas ter sido apreendida. O FBI recuperou 63,7 Bitcoins dos aproximadamente 75 Bitcoins obtidos (o equivalente a US$ 4 milhões) com o pagamento de resgate feito pela Colonial Pipeline.

Esta semana, uma nova operação, BlackMatter, foi detectada e está atacando ativamente as vítimas e adquirindo acesso à rede de outros operadores de ameaças para realizar novos ataques. O BleepingComputer detectou várias vítimas que estão sendo achacadas pelo grupo com pedidos de resgate que variam de US$ 3 milhões a US$ 4 milhões. Uma das vítimaa já pagou resgate no valor de US$ 4 milhões ao BlackMatter esta semana para ele deletasse os dados roubados e a empresa recebesse um descriptografador ESXi para Windows e Linux.

O BleepingComputer encontrou o descriptografador de uma vítima do BlackMatter e o compartilhou com o CTO da Emisosft e especialista em ransomware, Fabian Wosar. Depois de analisar o descriptografador, ele confirmou que o novo grupo BlackMatter está usando os mesmos métodos de criptografia exclusivos que o DarkSide usou em seus ataques. Segundo ele, as rotinas de criptografia usadas pelo BlackMatter são praticamente as mesmas, incluindo uma matriz Salsa20 personalizada exclusivamente para o DarkSide.

Embora não seja possível provar 100% que o BlackMatter é uma reformulação do DarkSide, muitas características semelhantes tornam difícil acreditar que esse não seja o caso. Quando se analisa os algoritmos de criptografia verifica-se que linguagem é semelhante a usada pelo DarkSide, assim como os temas e cores usados em seus sites Tor.

A reformulação da DarkSide é uma maneira também de sinalizar que o novo grupo não terá como alvo a indústria de petróleo e gás (oleodutos, refinarias de petróleo), o que levou à sua queda anterior. De todo modo, trata-se de um grupo altamente qualificado que visa múltiplas arquiteturas de dispositivos, incluindo servidores Windows, Linux e ESXi. Por isso, é preciso ficar de olho a esse novo grupo, pois ele certamente realizará ataques a alvos bem conhecidos no futuro.

FONTE: CISO ADVISOR

Previous post Mais de 50 mil tentativas de fraudes utilizando dados de pessoas mortas foram registradas em 2021
Next post Malware LemonDuck agora remove controles de segurança

Deixe um comentário