0
0
Embora não seja possível provar 100% ele seja uma reformulação do ransomware que atacou a Colonial Pipeline, semelhanças levam a acreditar que seja do mesmo grupo
Algoritmos de criptografia encontrados em um descriptografador revelam que a conhecida gangue do ransomware DarkSide retomou as atividades por meio de uma nova operação rebatizada de BlackMatter que está ativamente executando ataques a empresas.
Depois de atacar a Colonial Pipeline, dona do maior oleoduto de combustíveis da costa leste dos Estados Unidos, o grupo DarkSide enfrentou uma “grande caçada” por parte da polícia internacional e do governo dos EUA. Em maio, a operação do DarkSide foi encerrada repentinamente após os hackers perderem o acesso a seus servidores e a carteira de criptomoedas ter sido apreendida. O FBI recuperou 63,7 Bitcoins dos aproximadamente 75 Bitcoins obtidos (o equivalente a US$ 4 milhões) com o pagamento de resgate feito pela Colonial Pipeline.
Esta semana, uma nova operação, BlackMatter, foi detectada e está atacando ativamente as vítimas e adquirindo acesso à rede de outros operadores de ameaças para realizar novos ataques. O BleepingComputer detectou várias vítimas que estão sendo achacadas pelo grupo com pedidos de resgate que variam de US$ 3 milhões a US$ 4 milhões. Uma das vítimaa já pagou resgate no valor de US$ 4 milhões ao BlackMatter esta semana para ele deletasse os dados roubados e a empresa recebesse um descriptografador ESXi para Windows e Linux.
O BleepingComputer encontrou o descriptografador de uma vítima do BlackMatter e o compartilhou com o CTO da Emisosft e especialista em ransomware, Fabian Wosar. Depois de analisar o descriptografador, ele confirmou que o novo grupo BlackMatter está usando os mesmos métodos de criptografia exclusivos que o DarkSide usou em seus ataques. Segundo ele, as rotinas de criptografia usadas pelo BlackMatter são praticamente as mesmas, incluindo uma matriz Salsa20 personalizada exclusivamente para o DarkSide.
Embora não seja possível provar 100% que o BlackMatter é uma reformulação do DarkSide, muitas características semelhantes tornam difícil acreditar que esse não seja o caso. Quando se analisa os algoritmos de criptografia verifica-se que linguagem é semelhante a usada pelo DarkSide, assim como os temas e cores usados em seus sites Tor.
A reformulação da DarkSide é uma maneira também de sinalizar que o novo grupo não terá como alvo a indústria de petróleo e gás (oleodutos, refinarias de petróleo), o que levou à sua queda anterior. De todo modo, trata-se de um grupo altamente qualificado que visa múltiplas arquiteturas de dispositivos, incluindo servidores Windows, Linux e ESXi. Por isso, é preciso ficar de olho a esse novo grupo, pois ele certamente realizará ataques a alvos bem conhecidos no futuro.
FONTE: CISO ADVISOR