BlackMatterランサムウェア

最大のランサムウェア操作の2つが突然活動を停止することを決定した後に残された空白は、現在、フィールドの新しいプレーヤーによって埋められ始めているようです。 REvilとDarksideは、グループが大規模なランサムウェア攻撃を実行した後、操作を停止しました。これは、明らかに、あまりにも多くの不要な注目を集めました。 REvilは世界的な食肉生産者であるJBSとマネージドネットワークサービスプロバイダーであるKaseyaのネットワークを危険にさらし、 Darksideは石油パイプラインオペレーターであるコロニアルパイプラインの運営を妨害しました。

現在、BlackMatterという名前の新しいランサムウェアの衣装は、REvilとDarksideの両方の機能を組み込んでいると主張しています。 Recorded Futureのアナリストは、地下のハッカーフォーラムで自分自身を宣伝しているグループを発見しました。 RaaS（Ransomware-as-a-Service）スキームを扱う投稿を禁止するというフォーラムの最近の決定を回避するために、BlackMatterは代わりに「初期アクセスブローカー」を探しています。これが実際に意味することは、新しく設立されたランサムウェアギャングが、すでに侵害された企業ネットワークへのアクセスを購入しようとしているということです。

犠牲者は厳しい要件を満たさなければなりません

投稿された広告の中で、BlackMatterは、米国、カナダ、オーストラリア、英国の4つの特定の国で事業を行っている最大の企業にのみ関心があると述べています。潜在的な被害者はまた、1億ドル以上の年間収益を持っている必要があります。さらに、侵害されたネットワークには500〜15,000のホストが必要です。基準を満たすターゲットの場合、ハッカーは排他的アクセスを保証するために最大$ 100,000を支払う用意があります。

グループが選択した企業ネットワークへのアクセスを取得すると、内部システムの制御を確立することを任務とする脅迫ツールをリリースします。次のステップは、暗号化の脅威を展開して、感染したデバイスに保存されているデータをロックすることです。 BlackMatterは、明らかに、Windows、Linux、ネットワーク接続ストレージ（NAS）デバイス、VMWare ESXi5 +仮想エンドポイントなどのさまざまなシステムの大規模なセットを危険にさらす準備ができています。

ダークウェブのリークサイト

現在のほとんどのランサムウェアギャングとまったく同じように、BlackMatterもダークウェブでホストされている独自の専用リークサイトを作成しました。 Recorded Futureの研究者によると、このサイトは現在空であり、グループが最近結成されたことの証です。しかし、この仮定に疑問を投げかける証拠がいくつかあります。グループの対象とならないエンティティのリストを説明する、新しく出現したリークサイトのセクションは、以前にDarksideのサイトで利用可能だったものと非常に類似しています。これまでアナリストによって検出されたBlackMatter操作のインフラストラクチャも、Darksideへの接続を提供する可能性がありますが、現時点では、十分に決定的なものはありません。

それでも、そのサイトによると、BlackMatterは、病院、発電所などの重要な施設、石油およびガス産業組織、非営利組織、およびその他の公共の重要性を持つエンティティの侵害を積極的に回避します。ハッカーは、誤って除外されたセクターの1つから会社のシステムを暗号化した場合、ロックされたすべてのデータの無料の復号化を支援すると約束します。