Darkside.jpg

Ransomware DarkSide retoma operações como BlackMatter

Embora não seja possível provar 100% ele seja uma reformulação do ransomware que atacou a Colonial Pipeline, semelhanças levam a acreditar que seja do mesmo grupo
Da Redação
03/08/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Algoritmos de criptografia encontrados em um descriptografador revelam que a conhecida gangue do ransomware DarkSide retomou as atividades por meio de uma nova operação rebatizada de BlackMatter que está ativamente executando ataques a empresas.

Depois de atacar a Colonial Pipeline, dona do maior oleoduto de combustíveis da costa leste dos Estados Unidos, o grupo DarkSide enfrentou uma “grande caçada” por parte da polícia internacional e do governo dos EUA. Em maio, a operação do DarkSide foi encerrada repentinamente após os hackers perderem o acesso a seus servidores e a carteira de criptomoedas ter sido apreendida. O FBI recuperou 63,7 Bitcoins dos aproximadamente 75 Bitcoins obtidos (o equivalente a US$ 4 milhões) com o pagamento de resgate feito pela Colonial Pipeline.

Esta semana, uma nova operação, BlackMatter, foi detectada e está atacando ativamente as vítimas e adquirindo acesso à rede de outros operadores de ameaças para realizar novos ataques. O BleepingComputer detectou várias vítimas que estão sendo achacadas pelo grupo com pedidos de resgate que variam de US$ 3 milhões a US$ 4 milhões. Uma das vítimaa já pagou resgate no valor de US$ 4 milhões ao BlackMatter esta semana para ele deletasse os dados roubados e a empresa recebesse um descriptografador ESXi para Windows e Linux.

Veja isso
DarkSide pode ter faturado US$ 90 mi com ransomware
Como age e quais são as ramificações do grupo hacker DarkSide

O BleepingComputer encontrou o descriptografador de uma vítima do BlackMatter e o compartilhou com o CTO da Emisosft e especialista em ransomware, Fabian Wosar. Depois de analisar o descriptografador, ele confirmou que o novo grupo BlackMatter está usando os mesmos métodos de criptografia exclusivos que o DarkSide usou em seus ataques. Segundo ele, as rotinas de criptografia usadas pelo BlackMatter são praticamente as mesmas, incluindo uma matriz Salsa20 personalizada exclusivamente para o DarkSide.

Embora não seja possível provar 100% que o BlackMatter é uma reformulação do DarkSide, muitas características semelhantes tornam difícil acreditar que esse não seja o caso. Quando se analisa os algoritmos de criptografia verifica-se que linguagem é semelhante a usada pelo DarkSide, assim como os temas e cores usados em seus sites Tor.

A reformulação da DarkSide é uma maneira também de sinalizar que o novo grupo não terá como alvo a indústria de petróleo e gás (oleodutos, refinarias de petróleo), o que levou à sua queda anterior. De todo modo, trata-se de um grupo altamente qualificado que visa múltiplas arquiteturas de dispositivos, incluindo servidores Windows, Linux e ESXi. Por isso, é preciso ficar de olho a esse novo grupo, pois ele certamente realizará ataques a alvos bem conhecidos no futuro.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest