0
0
Nota do Editor: Em julho, uma nova gangue de ransomware começou a postar anúncios em vários fóruns de crimes cibernéticos anunciando que estava buscando recrutar parceiros e alegando que combinava as características de grupos notórios como REvil e DarkSide.
Batizada de BlackMatter, a gangue disse que estava especificamente interessada em segmentar grandes empresas com receitas anuais de mais de US$ 100 milhões. No entanto, o grupo disse que algumas indústrias estavam fora dos limites: não extorquiria organizações de saúde, infraestrutura crítica, petróleo e gás, defesa, organizações sem fins lucrativos e governamentais.
Um representante do grupo conversou com o analista especialista em inteligência contra ameaças da Recorded Future, Dmitry Smilyanets, recentemente sobre como a BlackMatter está aprendendo com os erros de outros grupos de ransomware, o que eles procuram quando recrutam parceiros e por que evitam certos alvos. A entrevista foi realizada em russo e traduzida para o inglês com a ajuda de um tradutor profissional, e foi editada para maior clareza.
Dmitry Smilyanets: Seu produto apareceu recentemente e, até onde sabemos, ainda não houve ataques públicos usando BlackMatter. Há quanto tempo você começou a desenvolvê-lo?
BlackMatter: Ainda não houve ataques se você estiver julgando pelo blog público. Na verdade, houve, e as empresas que atacamos já estão se comunicando conosco. Enquanto as negociações forem bem-sucedidas, não publicaremos uma postagem no blog na página principal do blog.
O produto está em desenvolvimento nos últimos seis meses. Talvez pareça simples (a julgar pelo blog ou pela página de comunicação), mas não é – o que os usuários veem publicamente é a ponta do iceberg.
Antes de iniciar o projeto, estudamos os seguintes produtos em detalhes:
- LockBit tem uma boa base de código, mas um painel acanhado e não funcional (no momento em que usamos o produto deles). Se você compará-lo a um carro, pode dizer que esta é uma linha de produção de carros japoneses com bons motores, mas um interior vazio e não funcional. Você pode montar um, mas com pouco prazer.
- REvil é um bom projeto em todo, software testado pelo tempo (desde GandCrab, eles não fizeram edições significativas desde então), um painel bastante funcional, mas focado mais no número total de “cargas” bem-sucedidas em vez de criptografia direcionada específica.
- Darkside é um software relativamente novo com uma boa base de código (parcialmente problemática, mas as próprias ideias merecem atenção) e uma web part interessante em comparação com outros RaaS.
O executável em si incorporou as ideias de LockBit, REvil e parcialmente DarkSide. A web part incorporou a abordagem técnica do DarkSide, pois a consideramos a mais estruturalmente correta (empresas separadas para cada alvo, e assim por diante).
DS: Quão difícil é organizar um programa de afiliados (também conhecido como ransomware como serviço)?
BM: No geral, menos difícil do que não. O nível é importante, o RaaS também pode estar offline (quando as compilações são emitidas via jabber/tox), mas não há demanda do mercado por isso e os clientes atuais, depois de usar REvil e DarkSide, não estão prontos para levar esses programas de afiliados a sério. Criamos um projeto e o trouxemos para o mercado exatamente em um momento em que o nicho está vago e o projeto atende plenamente às demandas do mercado, portanto, seu sucesso é inevitável.
DS: Mais recentemente, os maiores grupos—DarkSide, REvil, Avaddon, BABUK—desapareceram de cena. Muitos pesquisadores acreditam que isso se deveu à atenção da principal liderança dos Estados Unidos e da Rússia para a situação dos ataques de ransomware. É verdade? Você acha que seu produto terá o mesmo destino?
BM: Sim, acreditamos que, em grande parte, sua saída do mercado estava associada à situação geopolítica no cenário mundial. Em primeiro lugar, este é o medo dos Estados Unidos e seu planejamento de operações cibernéticas ofensivas, bem como um grupo de trabalho bilateral sobre extorsão cibernética. Estamos monitorando a situação política, além de receber informações de outras fontes. Ao projetar nossa infraestrutura, levamos em conta todos esses fatores e podemos dizer que podemos suportar as capacidades cibernéticas ofensivas dos Estados Unidos. Por quanto tempo? O tempo dirá. Por enquanto, estamos nos concentrando no trabalho de longo prazo. Também moderamos as metas e não permitiremos que nosso projeto seja usado para criptografar infraestrutura crítica, o que atrairá atenção indesejada para nós.
DS: Você mencionou que seu produto reúne o melhor de DarkSide, REvil e LockBit. Quais são os pontos fortes deles?
BM: Nosso projeto incorporou os pontos fortes de cada um dos programas parceiros:
- De REvil—SafeMode, sua implementação foi fraca e não bem pensada, desenvolvemos a ideia e a implementamos completamente. Também implementamos a versão PowerShell da variante ransomware, dada a implementação REvil.
- Do LockBit – uma abordagem à implementação da base de código, pegamos algumas coisas de lá, principalmente pequenas coisas.
- Do DarkSide – em primeiro lugar, essa é a ideia de personificação (a capacidade do criptografador de usar a conta de administrador de domínio para criptografar as unidades compartilhadas com o máximo de direitos), também pegamos emprestado a estrutura do painel de administração de lá.
DS: Com base nos últimos relatórios publicados esta semana, o BlackMatter é visualmente muito semelhante ao DarkSide. Você pode confirmar que sua infraestrutura é baseada no DarkSide?
BM: Podemos dizer com confiança que somos fãs do modo escuro no design, estamos familiarizados com a equipe DarkSide de trabalhar juntos no passado, mas não somos eles, embora sejamos íntimos com suas ideias.
DS: LockBit 2.0 é considerado o armário mais rápido no momento. Qual é a velocidade de criptografia/descriptografia da sua variante?
BM: Isso não é verdade. Depois de ler a pergunta – decidimos nos preparar baixando a versão mais recente disponível publicamente do LockBit (final de 21/06/1) e realizando testes, podemos afirmar o seguinte:
- BlackMatter: 2,22
- LockBit: 02.59
Os testes foram realizados nas mesmas condições. Além disso, o LockBit criptografa os primeiros 256 kb do arquivo (o que é muito ruim do ponto de vista da força criptográfica). Nós, por outro lado, criptografamos 1 MB. Essencialmente, esse é o segredo da velocidade deles.
DS: Você está planejando adicionar novos recursos ao produto, seguindo o exemplo do StealBit?
BM: Sim, o software está constantemente sendo melhorado, em termos das novas funções que aparecerão em um futuro próximo – imprimindo o texto da nota em todas as impressoras disponíveis. Também observamos nossos concorrentes e sempre implementamos o que consideramos promissor e procurado por nossos clientes.
DS: Eu já vi vários anúncios de recrutamento para sua equipe. Quantos testadores de penetração você gostaria de recrutar? É mais fácil trabalhar com uma equipe pequena, mas forte, ou com um exército de crianças do roteiro?
BM: Somos voltados para equipes fortes e autossuficientes com experiência, suas próprias soluções técnicas e um desejo real de ganhar dinheiro, não alguém que queira experimentar o negócio. Geralmente filtramos crianças de roteiro antes que elas tenham acesso ao nosso painel de administração.
DS: Obviamente, há muitos profissionais talentosos em sua equipe. Por que esse talento é voltado para atividades destrutivas? Você já tentou testes legais de penetração?
BM: Não negamos que os negócios são destrutivos, mas se olharmos mais profundamente – como resultado desses problemas, novas tecnologias são desenvolvidas e criadas. Se tudo estivesse bem em todos os lugares, não haveria espaço para novos desenvolvimentos.
Há uma vida e tiramos tudo dela, nosso negócio não prejudica os indivíduos e é voltado apenas para empresas, e a empresa sempre tem a capacidade de pagar fundos e restaurar todos os seus dados.
Não estivemos envolvidos em pentesting legais e acreditamos que isso não poderia trazer a recompensa material adequada.
DS: O que você acha dos ataques realizados contra a infraestrutura da Colonial Pipeline ou a JBS? Faz sentido atacar redes tão grandes?
BM: Achamos que esse foi um fator-chave para o fechamento do REvil e do DarkSide, proibimos esse tipo de mira e não vemos sentido atacá-los.
DS: O Departamento de Justiça dos EUA disse que conseguiu recuperar alguns dos bitcoins pagos pela Colonial. Como você acha que isso aconteceu?
BM: Achamos que a equipe DarkSide ou seus parceiros transferiram bitcoins para carteiras da web, o que levou à apreensão de chaves privadas.
DS: Você está comprando ativamente acesso às redes e declara que NÃO está interessado em instituições governamentais e médicas. Ao mesmo tempo, você afirmou que não criptografará uma gama mais ampla de setores, incluindo infraestrutura crítica, defesa, organizações sem fins lucrativos e petróleo. Quem tem a última palavra para criptografar a rede ou não?
BM: A última palavra é nossa. Verificamos cada alvo e decidimos se ele tem possíveis consequências negativas para nós. A discrepância entre as indústrias no blog e no fórum está relacionada ao marketing. Na correspondência pessoal, filtramos aqueles em que não estamos interessados.
DS: Que tipo de acesso primário à rede é o mais fácil em 2021 na sua opinião?
BM: Não trabalhamos com VPN e outros tipos demorados de acesso inicial, mas estamos focados em obter acesso direto à rede imediatamente.
DS: O que traz mais efeito motivando a empresa a pagar: A infraestrutura não está disponível ou o medo de um vazamento de dados?
BM: Varia de empresa para empresa. Para alguns, é importante manter a confidencialidade e, para outros, está restaurando a infraestrutura. Se a rede estiver completamente criptografada e também houver o risco de publicação de dados, a empresa provavelmente pagará.
DS: Unknown falou sobre uma perspectiva especial em relação às companhias de seguros. Você acha que se as companhias de seguros pararem abruptamente de cobrir incidentes de ransomware, isso mudará seu interesse em ransomware?
BM: Não vai mudar, as empresas continuarão pagando independentemente. É possível que o valor que está sendo pago diminua.
Agora as taxas de seguro aumentaram, mas temendo que sejam deixadas sozinhas na situação em que todos continuarão comprando o seguro.
DS: O que aconteceu com Unknown? Há muitos rumores, você pode esclarecer a situação?
BM: Não sabemos. Muito provavelmente, após o último pagamento, ele saiu de férias ou está preparando um rebranding do projeto deles.
DS: Conte-me um segredo.
BM: Não há segredos, mas acreditamos em nossa pátria, amamos nossas famílias e ganhamos dinheiro para nossos filhos.
FONTE: THE RECORD