Deux nouveaux programmes de ransomware-as-service (RaaS) sont apparus sur le radar des menaces ce mois-ci, avec un groupe prétendant être le successeur de DarkSide et REvil, les deux syndicats de ransomwares infâmes qui ont disparu du réseau à la suite d’attaques majeures contre Colonial Pipeline et Kaseya au cours des derniers mois.
« Le projet a incorporé en lui-même les meilleures fonctionnalités de DarkSide, REvil et LockBit », ont déclaré les opérateurs derrière le nouveau groupe BlackMatter dans leur blog public darknet, promettant de ne pas frapper les organisations de plusieurs secteurs, notamment la santé, les infrastructures critiques, le pétrole. et les secteurs du gaz, de la défense, à but non lucratif et gouvernemental.
Selon Flashpoint, l’acteur de la menace BlackMatter a enregistré un compte sur les forums en russe XSS et Exploit le 19 juillet, le faisant rapidement suivre d’un message indiquant qu’il cherchait à acheter l’accès à des réseaux d’entreprise infectés comprenant entre 500 et 15 000 hôtes dans le États-Unis, Canada, Australie et Royaume-Uni et avec des revenus de plus de 100 millions de dollars par an, faisant potentiellement allusion à une opération de ransomware à grande échelle.
« L’acteur a déposé 4BTC (environ 150 000 USD) sur son compte séquestre. Des dépôts importants sur le forum indiquent la gravité de l’acteur menaçant », chercheurs de Flashpoint mentionné dans un rapport. « BlackMatter ne déclare pas ouvertement qu’il est un opérateur collectif de ransomware, ce qui techniquement n’enfreint pas les règles des forums, bien que la langue de leur message, ainsi que leurs objectifs indiquent clairement qu’ils sont un opérateur collectif de ransomware. »
Le 27 juillet, le groupe aurait commencé à recruter activement des partenaires et des affiliés en utilisant le serveur Jabber du forum Exploit pour diffuser leur message de recrutement, dans lequel ils prétendent rechercher des testeurs d’intrusion expérimentés connaissant les systèmes Windows et Linux ainsi que des fournisseurs d’accès initial. , qui vendraient leur accès pour un pourcentage des bénéfices.
Le mois dernier, la société de sécurité d’entreprise Proofpoint a révélé comment les gangs de ransomware achètent de plus en plus l’accès à des groupes de cybercriminels indépendants qui infiltrent des cibles majeures et leur fournissent ensuite un point d’entrée pour déployer des opérations de vol de données et de cryptage en échange d’une partie des gains mal acquis.
L’émergence de BlackMatter coïncide avec la disparition de DarkSide et REvil à la suite d’incidents de ransomware très médiatisés de Colonial Pipeline, JBS et Kaseya, ce qui soulève des spéculations selon lesquelles les groupes pourraient éventuellement changer de nom et refaire surface sous une nouvelle identité.
Bien que les preuves concrètes reliant BlackMatter et les groupes aujourd’hui disparus soient rares, les « règles similaires autour du ciblage » et le fait que REvil avait précédemment étiqueté leur clé de registre Windows « BlackLivesMatter » prêtent foi aux théories selon lesquelles REvil aurait effectivement fait une pause temporaire et disparu sous terre après une vague d’attaques très médiatisées.
« Il est possible que des imitateurs imitent intentionnellement le comportement de REvil pour obtenir une crédibilité immédiate pour être prétendument la réincarnation de REvil », a déclaré Flashpoint.
BlackMatter n’est cependant pas le seul nouveau venu. La société de sécurité sud-coréenne S2W Labs a dévoilé la semaine dernière Haron, un autre dernier entrant dans l’écosystème de la cybercriminalité qui a fait son apparition ce mois-ci et emprunte fortement aux anciennes variantes de ransomware telles que Thanos et Avaddon, désormais abandonné.
