BlackMatter ransomware: восстановление из пепла DarkSide, REvil

отредактировано September 2021 Раздел: Шифровирусы шумной толпою
Новая кибергруппа под названием BlackMatter покупает доступ к корпоративным сетям, утверждая, что включает в себя лучшие функции известных и ныне несуществующих REvil и DarkSide.

В сообщении злоумышленник заявил, что хочет купить доступ к сетям в США, Канаде, Австралии и Великобритании, за исключением сетей, связанных с медицинскими и государственными организациями.

Они также поделились, что готовы потратить от 3000 до 100000 долларов на каждую сеть, которая соответствовала следующим критериям:
Выручка 100 миллионов долларов и более.
В сети должно быть 500-15 000 устройств.
Это должна быть новая сеть, на которую другие злоумышленники еще не нацелились.

В дополнение к публикации информации о своей деятельности, BlackMatter заявляет, что они не будут нацелены на организации в следующих отраслях:
Больницы.
Объекты критической инфраструктуры (атомные электростанции, электростанции, водоочистные сооружения).
Нефтегазовая промышленность (трубопроводы, нефтеперерабатывающие заводы).
Оборонная промышленность.
Некоммерческие компании.
Государственный сектор.

Recorded Future сообщает, что исполняемые файлы программ-вымогателей имеют различные форматы, поэтому они могут шифровать различные операционные системы и архитектуру устройств.

«Программа-вымогатель предоставляется для нескольких различных версий операционных систем и архитектур и доступна в различных форматах, включая вариант Windows с поддержкой SafeMode (EXE / Reflective DLL / PowerShell) и вариант Linux с поддержкой NAS: Synology, OpenMediaVault, FreeNAS (TrueNAS) », - сообщает Recorded Future.

Согласно BlackMatter, вариант вымогателя Windows был успешно протестирован на Windows Server 2003+ x86 / x64 и Windows 7+ x64 / x86. Вариант вымогателя Linux был успешно протестирован на ESXI 5+, Ubuntu, Debian и CentOs. Поддерживаемые файловые системы для Linux включают VMFS, VFFS, NFS, VSAN ".

Восстановление из пепла DarkSide и REvil?

Информация, обнаруженная исследователями в области безопасности, а также сходство веб-сайтов и партнеров могут указывать на то, что BlackMatter нанял или был создан злоумышленниками, которые ранее участвовали в операциях вымогателей DarkSide и REvil.

О закрытии DarkSide впервые сообщил публичный представитель REvil Unknown, который разместил об этом на хакерском форуме.

Два месяца спустя настала очередь REvil закрыться после массированной атаки на поставщиков управляемых услуг по всему миру с помощью уязвимости Kaseya VSA нулевого дня.

Как и DarkSide, REvil испытывал сильное давление со стороны правительства США и международных правоохранительных органов.

Recorded Future также сообщает, что BlackMatter заявила: «Проект вобрал в себя лучшие функции DarkSide, REvil и LockBit».

https://www.bleepingcomputer.com/news/security/blackmatter-ransomware-gang-rises-from-the-ashes-of-darkside-revil/

Фабиан Восар:

Изучив просочившийся двоичный код дешифратора BlackMatter, я убедился, что мы имеем дело с ребрендингом Darkside. Криптографические подпрограммы в значительной степени являются точной копией их реализации как RSA, так и Salsa20, включая использование настраиваемой матрицы.



Ребрендинг от DarkSide также объясняет причину, по которой новая группа BlackMatter не будет нацелена на «нефтегазовую промышленность (трубопроводы, нефтеперерабатывающие заводы)», что привело к их предыдущему краху.

К сожалению, это высококвалифицированная группа, ориентирована на несколько архитектур устройств, включая серверы Windows, Linux и ESXi.

В связи с этим нам нужно будет следить за этой новой группой, поскольку они обязательно будут атаковать хорошо известные цели в будущем.

https://www.bleepingcomputer.com/news/security/darkside-ransomware-gang-returns-as-new-blackmatter-operation/
+
https://id-ransomware.blogspot.com/2021/07/blackmatter-ransomware.html
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.

Комментарии

  • Версия BlackMatter для Linux нацелена на серверы VMware ESXi

    Группа BlackMatter присоединилась к разряду программ-вымогателей, чтобы разработать шифровальщик Linux, нацеленный на платформу виртуальных машин VMware ESXi.

    Предприятия все чаще переходят на виртуальные машины для своих серверов для лучшего управления ресурсами и аварийного восстановления.

    Поскольку VMware ESXi является самой популярной платформой виртуальных машин, почти все операции с программами-вымогателями для предприятий начали выпускать шифровальщики, специально предназначенные для виртуальных машин.

    BlackMatter нацелен на VMware ESXi

    Вчера исследователь безопасности MalwareHunterTeam обнаружил шифровальщик Linux ELF64 [VirusTotal] для банды вымогателей BlackMatter, который специально нацелен на серверы VMware ESXi в зависимости от его функциональности.

    BlackMatter - это относительно новая операция по вымогательству, которая началась в прошлом месяце и считается ребрендингом DarkSide. После того, как исследователи нашли образцы, было установлено, что процедуры шифрования, используемые программой-вымогателем, были такими же уникальными и уникальными, как и в DarkSide.

    DarkSide закрылся после атаки и закрытия Colonial Pipeline, а затем ощутил полное давление со стороны международного сообщества и правительства США.

    Из образца шифратора BlackMatter Linux, ясно, что он был разработан исключительно для серверов VMWare ESXi.

    Виталий Кремез из Advanced Intel провел обратный инжиниринг образца и сообщил, что злоумышленники создали библиотеку esxi_utils, которая используется для выполнения различных операций на серверах VMware ESXi.
    / sbin / esxcli
    bool app :: esxi_utils :: get_domain_name (std :: vector> &)
    приложение bool :: esxi_utils :: get_running_vms (std :: vector> &)
    приложение bool :: esxi_utils :: get_process_list (std :: vector> &)
    приложение bool :: esxi_utils :: get_os_version (std :: vector> &)
    приложение bool :: esxi_utils :: get_storage_list (std :: vector> &)
    std :: string app :: esxi_utils :: get_machine_uuid ()
    приложение bool :: esxi_utils :: stop_firewall ()
    bool app :: esxi_utils :: stop_vm (константная строка &)

    Кремез сказал нам, что каждая функция будет выполнять разные команды с помощью инструмента управления командной строки esxcli, например, выводить список виртуальных машин, останавливать брандмауэр, останавливать виртуальную машину и многое другое.

    Например, функция stop_firewall () выполнит следующую команду:
    esxcli network firewall set --enabled false

    В то время как stop_vm () выполнит следующую команду esxcli:
    esxcli vm process kill --type = force --world-id [ID]

    Все программы-вымогатели, нацеленные на серверы ESXi, пытаются выключить виртуальные машины перед шифрованием дисков. Это сделано для предотвращения повреждения данных во время их шифрования.

    После выключения всех виртуальных машин он зашифрует файлы, соответствующие определенным расширениям файлов, в зависимости от конфигурации, включенной в программу-вымогатель.

    Нацеливание на серверы ESXi очень эффективно при проведении атак программ-вымогателей, поскольку позволяет злоумышленникам шифровать сразу несколько серверов с помощью одной команды.

    По мере того, как все больше компаний переходят на этот тип платформы для своих серверов, мы продолжим видеть, как разработчики программ-вымогателей сосредоточиваются в первую очередь на компьютерах с Windows, но также создают выделенный зашифрованный Linux для ESXi.

    Технический директор Emsisoft Фабиан Восар сообщил, что другие программы-вымогатели, такие как REvil, HelloKitty, Babuk, RansomExx / Defray, Mespinoza, GoGoogle, также создали для этой цели шифровальщики Linux.

    https://www.bleepingcomputer.com/news/security/linux-version-of-blackmatter-ransomware-targets-vmware-esxi-servers/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2021 PM
    Живее всех живых: анализируем первый сэмпл нового шифровальщика BlackMatter
    Анализ сэмпла нового шифровальщика BlackMatter от Group-IB

    Заключение
    В результате анализа выявлены явные взаимосвязи BlackMatter с образцами DarkSide и REvil, особенно с DarkSide.

    -01_8.jpg


    На данный момент, невозможно с полной уверенностью сказать, что за созданием всех трех программ-вымогателей стоит одна и та же команда разработчиков. Однако очевидно, что освободившееся место долго не пустовало: на смену DarkSide и REvil пришел не менее изощренный BlackMatter. По заявлениям представителя группы, высказанных на русском языке в интервью Recorded Future (перевод доступен здесь), работа над программой-вымогателем шла около полугода, для ее создания было использованы "лучшие решения" из программ LockBit, REvil и DarkSide. Мы считаем, что представитель немного лукавит. Сомнительно, чтобы несвязанные с BlackMatter группы LockBit, REvil и DarkSide стали бы делиться своими дорогостоящими исходными кодами с конкурентом.

    https://blog.group-ib.ru/blackmatter

    p.s. еще один факт указывает на связь между REvil и BlackMatter

    наличие ключа HKEY_CURRENT_USER\Software\BlackLivesMatter, создаваемого REvil при атаке на Kasya
    +
    Например, образец [VirusTotal], установленный BleepingComputer, добавляет ключ HKLM \ SOFTWARE \ Wow6432Node \ BlackLivesMatter для хранения информации о конфигурации атаки.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2021 PM
    BlackMatter выходит из тени DarkSide

    Анализ вредоносного ПО

    Исследование Sophos основано на образце вымогателя BlackMatter с хешем SHA-256: 22D7D67C3AF10B1A37F277EBABE2D1EB4FD25AFBD6437D4377400E148BCC08D6.

    Список секторов и организаций, на которые указывает этот злоумышленник, который не будет атаковать, отражает недавние глобальные инциденты, связанные с DarkSide (Colonial Pipeline) и REvil (Kaseya), которые привлекли широкое и, вероятно, нежелательное внимание.

    Операторы BlackMatter утверждают, что их программа-вымогатель включает в себя лучшие функции программ-вымогателей DarkSide, REvil и LockBit 2.0.

    Чтобы лучше понять потенциальные отношения между группами вымогателей, SophosLabs проанализировала образец вымогателя BlackMatter и обнаружила ряд технических сходств с DarkSide и другими семействами вымогателей, которые стоит отметить.
    Функция......................:REvil............:Lockbit 2.0....:DarkSide..........:BlackMatter
    Тип .............................:RaaS.............:RaaS...............:RaaS................:RaaS
    Сначала сеть................:-..................:Да..................:Нет.................:Нет
    Многопоточность.........:Да...............:Да..................:Да...................:Да
    Шифрование файлов....:на месте.....:на месте.........:на месте.........:на месте
    Размер шифрования.....:full..............:4 КБ................:512 КБ............:1,024 КБ
    Переименовать.............:after............:after................:before............:before
    Расшифровка blob........:end of file....:end of file........:end of file.......:end of file
    Обои.............................:Да...............:Да....................:Да..................:Да
    Шифр. рос. системы.....:Нет..............:Да....................:Нет................:Да

    https://news.sophos.com/en-us/2021/08/09/blackmatter-ransomware-emerges-from-the-shadow-of-darkside/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.