本月,威胁雷达上出现了两个新的勒索软件即服务 (RaaS) 程序,其中一个组织自称是DarkSide和REvil的继任者,这两个臭名昭著的勒索软件集团在对 Colonial Pipeline 和卡塞亚过去几个月。
“该项目已将 DarkSide、REvil 和 LockBit 的最佳功能融入其中,”新 BlackMatter 集团背后的运营商在其暗网公共博客中表示,并承诺不会打击多个行业的组织,包括医疗保健、关键基础设施、石油以及天然气、国防、非营利和政府部门。
据 Flashpoint 称,BlackMatter 威胁行为者于 7 月 19 日在俄语论坛 XSS 和 Exploit 上注册了一个帐户,随后迅速发布了一篇帖子,称他们正在寻求购买对受感染企业网络的访问权限,该网络包含 500 至 15,000 台主机美国、加拿大、澳大利亚和英国,年收入超过 1 亿美元,可能暗示大规模勒索软件操作。
“攻击者将 4BTC(约 150,000 美元)存入他们的托管账户。论坛上的大笔存款表明威胁行为者的严重性,”Flashpoint 研究人员在一份报告中说。“BlackMatter 没有公开声明他们是勒索软件集体运营商,这在技术上并没有违反论坛的规则,尽管他们的帖子语言以及他们的目标清楚地表明他们是勒索软件集体运营商。”
7 月 27 日,该组织据称已开始积极招募合作伙伴和附属机构,使用 Exploit 论坛的 Jabber 服务器发布他们的招募信息,他们声称正在寻找熟悉 Windows 和 Linux 系统的有经验的渗透测试人员以及初始访问供应商,谁会出售他们的访问权以获得一定比例的利润。
上个月,企业安全公司 Proofpoint披露了勒索软件团伙如何越来越多地从独立的网络犯罪团体那里购买访问权限,这些团体渗透到主要目标中,然后为他们提供一个入口点来部署数据盗窃和加密操作,以换取一部分不义之财。
BlackMatter 的出现恰逢 DarkSide 和 REvil 在Colonial Pipeline、JBS和Kaseya受到高度宣传的勒索软件事件之后的消亡,引发了对这些组织最终可能会以新身份重新命名和重新出现的猜测。
虽然将 BlackMatter 和现已解散的组织联系起来的具体证据很少,但“围绕目标的类似规则”以及 REvil 之前将其 Windows 注册表项标记为“BlackLivesMatter”这一事实,使人们相信 REvil 可能确实暂时中断并消失的理论地下经过一波高调的攻击。
Flashpoint 说:“模仿者有可能故意模仿 REvil 的行为,以立即获得被认为是 REvil 转世的可信度。”
然而,BlackMatter 并不是唯一的新来者。韩国安全公司 S2W Labs 上周揭开了Haron 的面纱,这是本月出现的另一个网络犯罪生态系统的最新成员,并大量借鉴了过去的勒索软件变种,例如 Thanos 和现已停产的 Avaddon。
极牛网精选文章《新勒索软件团伙Haron和BlackMatter活跃在网络犯罪论坛》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/15642.html