BlackMatter: Der Nachfolger von REvil und DarkSide?

Im Juli trat eine neue Ransomware-Gruppe in Erscheinung, die behauptet, die besten Ressourcen der REvil- und DarkSide-Operationen zu bündeln. Diese beiden Gruppen sind erst kürzlich aus dem Dark Web verschwunden.

Am 19. Juli registrierte ein Agent unter dem Alias BlackMatter ein Konto in den russischsprachigen XSS- und Exploit-Foren. Er zahlte 4 Bitcoins (etwa 150.000 US-Dollar) auf deren Treuhandkonto ein. Die hohen Einzahlungen deuten auf die Ernsthaftigkeit des bedrohlichen Agenten hin, berichtet FlashPoint.

Die Bande ist daran interessiert, Unternehmen in den USA, Großbritannien, Kanada oder Australien anzugreifen, die einen Umsatz von mehr als 100 Millionen Dollar und 500 bis 15.000 Hosts in ihren Netzwerken haben. Die Unternehmen sollen dabei aber nicht zum Gesundheitswesen, zu kritischen Infrastrukturen, zur Öl- und Gasindustrie, zum Verteidigungssektor, zu gemeinnützigen Organisationen oder zur Regierung gehören. Die Gruppe bietet zwischen 3.000 und 100.000 US-Dollar, um Zugang zu Unternehmensnetzwerken zu erhalten, sowie einen Teil des Lösegelds, das von den Opfern verlangt wird.

Für das auf Cyber-Bedrohungen spezialisierte Analyseunternehmen Recorded Future, das auch die Infrastruktur dieser neuen Gruppe identifiziert hat, besteht eine Verbindung zwischen BlackMatter und der ehemaligen DarkSide-Gruppe, die allerdings noch untersucht wird. Die Flashpoint-Analysten stellen unterdessen fest, dass REvil seinen Windows-Registrierungsschlüssel zuvor als „BlackLivesMatter” bezeichnet hat.

Flashpoint-Analysten entdeckten auch eine Website auf einer von BlackMatter eröffneten Domain. Auf dieser macht die Gruppe detaillierte Angaben zu den Einschränkungen der Profile von Unternehmen, die Ziel ihrer Angriffe sind. Nach der Veröffentlichung dieser Website tauchten Gerüchte auf, die besagten, dass BlackMatter nur ein Rebranding der DarkSide-Gruppe sei. Diese Behauptung stütze sich zum einen auf das DarkSide-ähnliche Design der Website, zum anderen aber auch auf die Tatsache, dass die BlackMatter-Gruppe ausdrücklich erklärte, dass sie nicht auf den Öl- und Gassektor abzielen würde – eine Anspielung auf den Überfall auf die Colonial Pipeline, das Hauptopfer von DarkSide.

Ob Zufall oder nicht: BlackMatter tauchte nur wenige Wochen nach dem Verschwinden der Dark Web Ransomware-Gruppen DarkSide und REvil auf. Im Laufe des Jahres 2021 gelang es beiden, mehrere Millionen Dollar von großen Unternehmen zu erpressen, darunter Colonial Pipeline und JBS SA. Nachdem sie ins Rampenlicht gerückt waren, begannen sie, sich zu beruhigen und gaben an, dass es sich bei ihren Operationen in Wirklichkeit um Penetrationstests handelte. Diese werden häufig durchgeführt, um die Robustheit von Systemen auf legitime Weise zu bewerten. Dann beschlossen die beiden Ransomware-Gruppen, von der Bildfläche zu verschwinden.

BlackMatter gibt sich nicht als kollektiver Ransomware-Betreiber aus, doch der Inhalt seiner Beiträge deutet eindeutig auf das Gegenteil hin. So behauptet die Gruppe beispielsweise, verschiedene Betriebssystemversionen und -architekturen verschlüsseln zu können, darunter Windows Server 2003 x86/x64 oder höher, Windows 7 x86/x64 oder höher, Linux ESXI 5+, Ubuntu, Debian und CentOs, mit VMFS-, VFFS-, NFS- und VSAN-Dateisystemen.

Laut FlashPoint ist es nicht möglich, die Hintermänner von BlackMatter ausfindig zu machen. Dabei ist wichtig anzumerken, dass suggestive Posts und ein Kryptowährungskonto mit hohen Summen keine Garantie dafür sind, dass eine Ransomware-Gruppe gebildet wurde. Es könnte sein, dass die Betrüger absichtlich das Verhalten dieser berüchtigten Cyberbanden imitieren, um schnell an Glaubwürdigkeit zu gewinnen. Die Website BleepingComputer konnte jedoch bestätigen, dass aktive Angriffe im Gange sind und mindestens ein Opfer Ende Juli vier Millionen Dollar an BlackMatter gezahlt hat. Könnte BlackMatter also die Reinkarnation einer oder zweier großer Ransomware-Gruppen sein? Oder eine neue Cyber-Bande? Welche dieser Möglichkeiten auch zutrifft – es gilt jetzt, wachsam zu sein und sich zu schützen.