Surge um sucessor para os grupos REvil e DarkSide

Um novo grupo de ransomware deu as caras em julho, afirmando reunir os melhores recursos das operações do REvil e do DarkSide, que desapareceram da Dark Web recentemente.

No dia 19 de julho, um agente sob o pseudônimo BlackMatter registrou uma conta nos fóruns de língua russa XSS e Exploit onde foram depositados 4 bitcoins (cerca de US$ 150 mil) em sua conta de garantia. Depósitos de alto valor indicam a seriedade do agente ameaçador, segundo relatório da FlashPoint.

A gangue tem interesse em atacar companhias nos Estados Unidos, Reino Unido, Canadá ou Austrália, com receita acima de US$ 100 milhões e 500 a 15 mil hosts em suas redes, mas que não façam parte dos setores de saúde, infraestrutura crítica, petróleo e gás, defesa, organizações sem fins lucrativos e governamental. O grupo está oferecendo entre US$ 3 mil a US$ 100 mil para ter acesso às redes corporativas, bem como uma parcela do eventual resgate que será pedido às suas vítimas.

Para a empresa de análise de ciberameaças Recorded Future, que também identificou a infraestrutura desse novo grupo, há uma conexão entre o BlackMatter e o antigo grupo DarkSide, embora esse fato ainda esteja sob investigação. Já os analistas da Flashpoint observam que o REvil rotulou anteriormente sua chave de registro do Windows como “BlackLivesMatter”.

Analistas da Flashpoint também descobriram um site em um domínio aberto pelo BlackMatter, no qual a grupo detalha as restrições aos perfis das empresas-alvo de seus ataques. Após a divulgação desse site, surgiram rumores afirmando que BlackMatter seria apenas uma mudança de marca do grupo DarkSide. As afirmações se baseiam no design do site, semelhante ao do DarkSide e no fato de o grupo BlackMatter ter declarado explicitamente que não visaria o setor de petróleo e gás, um aceno à invasão do Colonial Pipeline, sua principal vítima.

Coincidências ou não, o surgimento do BlackMatter ocorre apenas algumas semanas depois do desaparecimento dos grupos de ransomware DarkSide e REvil da Dark Web. No decorrer de 2021, ambos conseguiram extorquir dezenas de milhões de dólares de grandes companhias, entre elas Colonial Pipeline e JBS SA – e de várias ​​outras vítimas. Depois que ganharam os holofotes, começaram a baixar o tom, passando a sugerir que suas operações eram, na realidade, testes de penetração, muitas vezes realizados para avaliar legitimamente a robustez dos sistemas, até que decidiram desapareceram do cenário.

O BlackMatter não afirma abertamente que é um operador coletivo de ransomware, embora o conteúdo de suas postagens indique claramente o contrário. Por exemplo, o grupo diz ser capaz de criptografar várias versões e arquiteturas de sistemas operacionais, entre elas Windows Server 2003 x86/x64 ou superior, Windows 7 x86/x64 ou superior, Linux ESXI 5+, Ubuntu, Debian e CentOs, com sistemas de arquivos VMFS, VFFS, NFS e VSAN.

Segundo a FlashPoint, não é possível bater o martelo em relação a quem está por trás do BlackMatter. É importante observar que postagens sugestivas e uma conta com altos valores em criptomoeda não são garantia da formação de um grupo de ransomware. Pode ser que fraudadores estejam intencionalmente imitando o comportamento dessas famosas cibergangues para ganhar credibilidade rapidamente. No entanto, o site BleepingComputer conseguiu confirmar que há ataques ativos em andamento e que, pelo menos, uma vítima pagou US$ 4 milhões ao BlackMatter no final de julho. Seria, então, o BlackMatter a reencarnação de um ou dois grandes grupos de ransomware? Ou uma nova quadrilha cibernética?  Para qualquer uma das hipóteses, a solução é ficar atento e se proteger.