Le ransomware BlackMatter renaît des cendres de DarkSide et REvil

0

Un nouveau gang de ransomware nommé BlackMatter achète l’accès aux réseaux d’entreprise tout en prétendant inclure les meilleures fonctionnalités des opérations REvil et DarkSide désormais disparues.

Récemment, Recorded Future et le chercheur en sécurité pancak3 ont partagé qu’un nouveau groupe de pirates nommé « BlackMatter » avait publié sur des forums de piratage qu’ils souhaitaient acheter des accès aux réseaux d’entreprises.

BlackMatter
Message de BlackMatter sur le forum

Dans la publication, le groupe de pirates a déclaré qu’il souhaitait acheter l’accès à des réseaux aux États-Unis, au Canada, en Australie et en Grande-Bretagne, à l’exception des réseaux associés à des entités médicales et gouvernementales.

Ils ont en outre déclaré qu’ils étaient prêts à dépenser entre 3 000 et 100 000 $ par réseau répondant aux critères suivants:

  • Revenu de 100 millions de dollars ou plus.
  • Le réseau doit contenir 500 à 15 000 appareils.
  • Il devrait s’agir d’un nouveau réseau que d’autres pirates informatiques n’ont pas déjà ciblé.

Pour montrer qu’ils étaient sérieux, le groupe de pirates a déposé quatre bitcoins (120 000 $) dans le portefeuille de crypto-monnaie du forum de piratage Exile pour montrer qu’ils étaient sérieux.

Comme les forums faisant la promotion des ransomwares sont désormais interdits sur les forums XSS et Exploit, le groupe de pirates n’a pas indiqué comment il utiliserait les accès à ces réseaux.

Le gang de ransomware BlackMatter émerge

Le même jour, des chercheurs de Recorded Future ont révélé qu’un nouveau site Tor de fuite de données pour une opération de ransomware « BlackMatter » est apparu sur le dark web la semaine dernière.

Le nom indique que le groupe de pirates informatiques BlackMatter est le représentant public de l’opération de ransomware sous le même nom.

BlackMatter
Nouveau site de fuite de données BlackMatter

En plus de publier des informations sur leurs opérations, BlackMatter déclare qu’ils ne cibleront pas les entités des secteurs suivants:

  • Hôpitaux.
  • Infrastructures critiques (centrales nucléaires, centrales électriques, installations de traitement des eaux).
  • Industrie pétrolière et gazière (pipelines, raffineries de pétrole).
  • Industrie de la défense.
  • Entreprises à but non lucratif.
  • Secteur gouvernemental.

Recorded Future affirme que les exécutables de ransomware du gang se présentent sous différents formats afin qu’ils puissent chiffrer différents systèmes d’exploitation et architectures de périphériques.

« Le ransomware est fourni pour plusieurs versions et architectures de systèmes d’exploitation différentes et est livrable dans une variété de formats, y compris une variante Windows avec prise en charge SafeMode (EXE/Reflective DLL/PowerShell) et une variante Linux avec prise en charge de NAS : Synology, OpenMediaVault, FreeNAS (TrueNAS) », a rapporté Recorded Future.

« Selon BlackMatter, la variante du ransomware Windows a été testée avec succès sur Windows Server 2003+ x86/x64 et Windows 7+ x64/x86. La variante du ransomware Linux a été testée avec succès sur ESXI 5+, Ubuntu, Debian et CentOs. Les systèmes de fichiers pris en charge pour Linux incluent VMFS, VFFS, NFS, VSAN. »

Pour le moment, aucune victime n’est répertoriée sur le site. Cependant, le gang des ransomwares déclare que « tous les blogs sont cachés pour l’instant. Pour une très courte durée », indiquant qu’ils attaquent activement les victimes.

tor negotiation site
Site Tor de négociation de BlackMatter

En se basant sur le chat de négociation, il s’agit d’une opération de ransomware vétéran et très probablement d’une rebaptisation de l’un des groupes importants qui a récemment fermé ses portes.

Renaître des cendres de DarkSide et REvil ?

Les informations découvertes par les chercheurs en sécurité ainsi que les similitudes entre les sites Web et les partenaires peuvent indiquer que BlackMatter a recruté ou a été créé par des individus malveillants qui étaient auparavant avec les opérations de ransomware DarkSide et REvil.

Alors que les gangs de ransomware se rebaptisent généralement pour échapper aux forces de l’ordre, lors des premiers rapports sur DarkSide en Août 2020, certains chercheurs en sécurité et les forces de l’ordre pensaient que REvil rebaptisait la nouvelle opération DarkSide.

Cependant, les deux gangs ont continué à fonctionner côte à côte pendant près d’un an jusqu’à ce que DarkSide attaque Colonial Pipeline. Sentant toute la pression du gouvernement américain et des forces de l’ordre, DarkSide a fermé ses portes en Mai.

La fermeture de DarkSide a été signalée pour la première fois par le représentant public de REvil, Unknown, qui en a parlé sur un forum de piratage.

Deux mois plus tard, c’était au tour de REvil de fermer ses portes après avoir mené une attaque massive contre les fournisseurs de services gérés dans le monde entier via une vulnérabilité zero-day du VSA de Kaseya.

Comme DarkSide, REvil ressentait une pression massive du gouvernement américain et des forces de l’ordre internationales. La rumeur est que le gouvernement russe leur a dit de mettre la clé sous porte et de disparaître pendant un certain temps.

Après avoir vu le site Tor de BlackMatter, les chercheurs en sécurité ont découvert qu’il présentait une forte ressemblance avec le site Tor du ransomware DarkSide, aujourd’hui disparu.

Les deux pages partagent un thème de couleur similaire, un langage similaire, une façon similaire de se désigner, et incluaient également une liste de cibles qu’elles n’attaqueraient pas.

Recorded Future a également rapporté que BlackMatter a déclaré: « Le projet a incorporé en lui-même les meilleures fonctionnalités de DarkSide, REvil et LockBit. »

Enfin, la société de cybersécurité Mandiant a vu des indicateurs suggérant qu’un acteur précédemment connecté à DarkSide s’associe désormais à BlackMatter.

« Nous avons vu des indications qui suggèrent actuellement qu’au moins un acteur connecté à certaines opérations du ransomware DARKSIDE s’aligne sur BLACKMATTER », a déclaré Kimberly Goody, directrice de l’analyse de la criminalité financière chez Mandiant.

« Ce n’est pas nécessairement surprenant, car nous voyons couramment des affiliés de ransomware s’associer à plusieurs fournisseurs. »

Bien que de nombreux indices indiquent qu’il peut s’agir d’une rebaptisation de DarkSide, ou peut-être créée par des acteurs des deux groupes, nous ne le saurons pas avec certitude tant qu’un échantillon du ransomware n’aura pas été analysé pour les similitudes de code.

Comme les attaques BlackMatter sont en cours, les chercheurs découvriront probablement un échantillon bientôt.

Laisser un commentaire