Un análisis de las nuevas muestras de ransomware BlackMatter para Windows y Linux reveló hasta qué punto los operadores agregaban constantemente nuevas funciones y opciones de cifrado en iteraciones sucesivas durante un período de tres meses.
Hasta ahora, se han observado al menos 10 versiones de ransomware para Windows y dos versiones de Linux, dijo el investigador de amenazas de Group-IB, Andrei Zhdanov, en un informe compartido con The Hacker News, y señaló cambios en la implementación del algoritmo de cifrado ChaCha20. Se utiliza para cifrar el contenido de los archivos.
BlackMatter apareció en julio de 2021 y se jacta de que contiene «las mejores características de DarkSide, REvil y LockBit» y se considera el sucesor de DarkSide, que desde entonces ha sido detenido por REvile después de la aplicación de la ley. BlackMatter, que opera como un modelo de ransomware como servicio (RaaS), ha afectado a más de 50 empresas en EE. UU., Austria, Italia, Francia y Brasil, entre otros.
Además, el actor de amenazas crea una sala de chat de comunicación única para cada víctima, cuyo enlace se adjunta a un archivo de texto que contiene la demanda de rescate. También se sabe que BlackMatter duplica el rescate después de que expira el ultimátum antes de publicar los documentos robados si la víctima se niega a pagar.
Según los investigadores de seguridad anti-ransomware de Microsoft, DarkSide y su cambio de marca BlackMatter son parte de un grupo de ciberdelincuentes rastreados como FIN7, que recientemente fue presentado y operado por una empresa fachada llamada Bastion Secure para atraer a profesionales de la tecnología para lanzar ataques de ransomware.
«Cuando se establecen otros parámetros o faltan algunos parámetros, el sistema se cifra completamente de acuerdo con los ajustes de configuración», señaló Ždanov. «Cuando se completa el cifrado, el ransomware crea una imagen BMP que le notifica que los archivos se han cifrado, que luego establece como fondo de escritorio. A partir de la versión 1.4, el ransomware también puede imprimir el texto de la solicitud de rescate en la impresora predeterminada de la víctima. » . «
Por otro lado, las variantes de Linux están diseñadas para apuntar a servidores VMware ESXi y ofrecen la capacidad de apagar máquinas virtuales y finalizar procesos específicos, incluidos los firewalls, antes de que comience el cifrado de datos.
Los hallazgos se presentan como VX-Underground, un portal que aloja código fuente, muestras y documentos de malware. revelado que el grupo cancela sus operaciones «bajo la presión de las autoridades locales». Una publicación compartida en RaaS también señaló que «parte del equipo ya no está disponible después de las últimas noticias».
No está claro de inmediato qué podrían cubrir las «últimas noticias», pero sugiere un fuerte vínculo con una operación policial internacional coordinada a fines del mes pasado que arrestó a 12 personas desde 2019 por organizar ataques de ransomware contra 1.800 víctimas en 71 países.
En una nota emitida el 18 de octubre de 2021, la Agencia de Seguridad de Infraestructura y Seguridad Cibernética (CISA), la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA) advirtieron que el grupo de ransomware BlackMatter se centró en «más» organizaciones de infraestructura crítica, incluidas dos entidades en el sector alimentario y agrícola de EE. UU.
La semana pasada, Emsisoft Cybersecurity Company de Nueva Zelanda anunció que descubrió un error en el ransomware BlackMatter a principios de este año que permitía recuperar archivos cifrados sin pagar un rescate a los ciberdelincuentes. Para aumentar la presión sobre los operadores de ransomware, el Washington Post informó que el Comando Cibernético de EE. UU., en cooperación con el gobierno extranjero, pirateó servidores administrados por REvil ransomware y lo obligó a cerrar el trato por segunda vez.
«[The shutdown of the program] no significa que los afiliados de BlackMatter detengan la actividad dañina «, dijo Group-IB. Lo más probable es que se una a otros programas RaaS. Además, puede ser solo un intento de un nuevo comienzo con un nombre diferente. Justo cuando BlackMatter estaba renombrando DarkSide, pronto podría aparecer un nuevo sucesor».
