BlackMatter es un nuevo grupo de ransomware como servicio (RaaS) que se lanzó en la Dark Web el pasado mes de julio y que aparentemente está directamente relacionado con DarkSide y REvil, dos bandas recientemente desaparecidas tras perpetrar grandes ciberataques. En el caso de DarkSide, fue el que dirigió al Colonial Pipeline causando su cierre temporal, mientras que REvil fue el responsable de los incidentes que sufrieron la mayor empresa cárnica del mundo, JBS, y la proveedora de servicios IT estadounidense Kaseya.
Si bien se desconoce si ambos grupos se esfumaron voluntariamente, si fueron derribados por algún gobierno o si simplemente pasaron a la clandestinidad para cambiar su marca, desde Recorded Future han declarado a BlackMatter como su "sucesor" tras haber descubierto al menos una conexión entre ellos.
"El proyecto ha incorporado en sí mismo las mejores características de DarkSide, REvil y LockBit", proclamó BlackMatter, según Recorded Future. En cuanto a LockBit, cabe recordar que es otro operador de ransomware que apareció por primera vez en 2019 y del que se cree que actúan desde Rusia.
Los objetivos de BlackMatter excluyen a organizaciones de varias industrias
Siguiendo la información del citado medio, que indica se basa en el blog público de BlackMatter, este nuevo grupo de ransomware afirma que no realiza ataques a los siguientes tipos de organización:
- Hospitales
- Instalaciones de infraestructura crítica (centrales nucleares, centrales eléctricas, instalaciones de tratamiento de agua)
- Industria de petróleo y gas (oleoductos, refinerías de petróleo)
- Industria de defensa
- Empresas sin ánimo de lucro
- Sector gubernamental
En su blog, BlackMatter reafirma su voluntad de no atentar contra este tipo de organizaciones señalando que si alguna de ellas se ha visto afectada por su ransomware puede solicitar el descifrado gratuito.
Tiene un depósito de 110.000$ y ofrece hasta 100.000$ por el acceso a la red de una organización
Recorded Future también afirma que BlackMatter tiene un depósito de 4 bitcoins, lo que equivale 110.000 dólares en el foro Exploit. Asimismo, indica que su objetivo ahora es comprar acceso a redes corporativas en Estados Unidos, Canadá, Australia y Reino Unido, y que está dispuesto a pagar hasta 100.000 dólares por el acceso exclusivo a la red de una organización en la que puedan implementar ransomware y exfiltrar datos.
"El ransomware se proporciona para varias versiones y arquitecturas de sistemas operativos diferentes y se puede entregar en una variedad de formatos, incluida una variante de Windows con compatibilidad con SafeMode (EXE / Reflective DLL / PowerShell) y una variante de Linux con compatibilidad con NAS: Synology, OpenMediaVault, FreeNAS ( TrueNAS)", explica Recorded Future.
"Según BlackMatter, la variante de ransomware de Windows se probó con éxito en Windows Server 2003+ x86 / x64 y Windows 7+ x64 / x86. La variante de ransomware de Linux se probó con éxito en ESXI 5+, Ubuntu, Debian y CentOs. Los sistemas de archivos compatibles con Linux incluyen VMFS, VFFS, NFS, VSAN", añade.