Nuevas pandillas de ransomware: Haron y BlackMatter, emergen en los foros de ciberdelincuencia

Secuestro de datos

Dos nuevos programas de ransomware como servicio (RaaS) han aparecido en el radar de amenazas este mes, y un grupo afirma ser el sucesor de DarkSide y REvil, los dos sindicatos de ransomware infames que se desconectaron luego de los grandes ataques en Colonial Pipeline y Kaseya en los últimos meses.

«El proyecto ha incorporado en sí mismo las mejores características de DarkSide, REvil y LockBit», dijeron los operadores detrás del nuevo grupo BlackMatter en su blog público de darknet, prometiendo no atacar a organizaciones en varias industrias, incluida la atención médica, infraestructura crítica, petróleo y sectores de gas, defensa, sin fines de lucro y gubernamentales.

Según Flashpoint, el actor de amenazas BlackMatter registró una cuenta en los foros en ruso XSS y Exploit el 19 de julio, seguido rápidamente con una publicación que indica que están buscando comprar acceso a redes corporativas infectadas que comprenden entre 500 y 15,000 hosts en el EE. UU., Canadá, Australia y el Reino Unido y con ingresos de más de $ 100 millones al año, lo que podría insinuar una operación de ransomware a gran escala.

«El actor depositó 4 BTC (aproximadamente $ 150,000 USD) en su cuenta de depósito en garantía. Los grandes depósitos en el foro indican la seriedad del actor de amenazas», dijeron los investigadores de Flashpoint en un informe. «BlackMatter no declara abiertamente que es un operador colectivo de ransomware, lo que técnicamente no infringe las reglas de los foros, aunque el lenguaje de su publicación, así como sus objetivos, indican claramente que es un operador colectivo de ransomware».

BlackMatter Ransomware

El 27 de julio, se dice que el grupo comenzó a reclutar activamente socios y afiliados utilizando el servidor Jabber del foro Exploit para promulgar su mensaje de reclutamiento, en el que afirman estar buscando probadores de penetración experimentados con conocimientos en sistemas Windows y Linux, así como proveedores de acceso inicial. , que vendería su acceso o trabajaría por un porcentaje de las ganancias.

El mes pasado, la firma de seguridad empresarial Proofpoint reveló cómo las pandillas de ransomware compran cada vez más acceso a grupos de ciberdelincuentes independientes que se infiltran en los principales objetivos y luego les brindan un punto de entrada para implementar operaciones de encriptación y robo de datos a cambio de una parte de las ganancias mal habidas.

El surgimiento de BlackMatter coincide con la desaparición de DarkSide y REvil a raíz de incidentes de ransomware muy publicitados de Colonial Pipeline, JBS y Kaseya, lo que genera especulaciones de que los grupos eventualmente pueden cambiar de marca y resurgir bajo una nueva identidad.

Si bien la evidencia concreta que conecta BlackMatter y los grupos ahora desaparecidos es escasa, las «reglas similares sobre la orientación» y el hecho de que REvil previamente etiquetó su clave de registro de Windows como «BlackLivesMatter» dan crédito a las teorías de que REvil puede haber tomado una pausa temporal y desaparecer. bajo tierra después de una ola de ataques de alto perfil.

«Es posible que los imitadores estén imitando intencionalmente el comportamiento de REvil para ganar credibilidad inmediata por ser supuestamente la reencarnación de REvil», dijo Flashpoint.

Sin embargo, BlackMatter no es el único recién llegado. La firma de seguridad de Corea del Sur, S2W Labs, desveló la semana pasada a Haron, otro participante más reciente en el ecosistema del ciberdelito que hizo su aparición este mes y toma prestado en gran medida variantes de ransomware anteriores como Thanos y Avaddon, ahora descontinuado.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática