Nowy ransomware w natarciu - ransomware BlackMatter
W ostatnich tygodniach zastanawialiśmy się czy w związku z tym, że strony gangu REvil przestały działać możemy mówić o likwidacji tej grupy. Głośne ataki ransomware REvil na Apple, JBS, Acer czy szwedzką sieć supermarketów Coop z pewnością zwróciły uwagę organów ścigania. Wysokie okupy, nawet sięgające 50 milionów dolarów, które część firm zdecydowała się zapłacić za odszyfrowanie plików mogły sprawić, że cyberprzestępcy zwyczajnie zarobili na atakach wystarczająco dużo i postanowili zakończyć działalność grupy. Nie byłby to odosobniony przypadek w ostatnim czasie, członkowie gangu ransomware Avaddon po zarobieniu wystarczającej sumy pieniędzy udostępnili nawet swoim ofiarom darmowy deszyfrator plików. Czy grupa ransomware BlackMatter to rzeczywiście następca owianego złą sławą REvil?
Ransomware BlackMatter - co musisz wiedzieć o nowym gangu ransomware
Grupa ransomware BlackMatter rozpoczęła działalność w tym tygodniu, członkowie gangu twierdzą, że łączą TTP (Tactic, Technique and Procedure) z ransomware Darkside, LockBit i REvil. Podobnie jak gang REvil grupa BlackMatter stosuje taktykę podwójnego wymuszenia i utworzyła stronę internetową, gdzie będą publikowane dane wykradzione od ofiar ataku. Ransomware BlackMatter działa jako RaaS, swoje usługi reklamuje na znanych forach cyberprzestępczych, takich jak Exploit i XSS.
Grupa rekrutuje oszustów z dostępem do sieci dużych przedsiębiorstw, których przychody wynoszą rocznie 100 mln dolarów lub więcej, w celu zainfekowania ich oprogramowaniem ransomware. Najbardziej zagrożone są firmy z USA, Wielkiej Brytanii, Kanady i Australii. Ponadto operatorzy ransomware BlackMatter ogłosili, że nie będą atakować jednostek opieki zdrowotnej, infrastruktury krytycznej, organizacji z branży obronnej, ani organizacji non-profit. Co więcej, jeśli organizacja tego typu zostanie zaatakowana przez ransomware BlackMatter może zgłosić się do jego twórców po darmowy deszyfrator. Na swojej stronie internetowej gang zapewnia, że nigdy nie atakuje ponownie tego samego celu. Musimy mieć jednak na uwadze, że są to obietnice składane przez oszustów i mogą one mieć tylko charakter wizerunkowy. Z dotychczasowych doniesień wynika, że już co najmniej jedna firma stała się ofiarą gangu BlackMatter.
Czy gang ransomware BlackMatter to rzeczywiście następca owianego złą sławą ransomware REvil?
Zdaniem ekspertów kod ransomware REvil rzeczywiście został zmodyfikowany i używany przez BlackMatter, jednak jest mało prawdopodobne, aby pochodził od twórców REvil. Z większym prawdopodobieństwem można powiedzieć, że pochodzi on od jednego z dotychczasowych partnerów REvil, który nie mógł się pogodzić z utratą zysków pochodzących z okupu. Jednak wybór nazwy wydaje się nieprzypadkowy. Gang REvil wcześniej oznaczał swój klucz rejestru systemu Windows jako BlackLivesMatter.
Jest jednak możliwe, że grupa ransomware BlackMatter celowo naśladuje gang REvil i ogłosiła się jego następcą, tylko po to, aby uzyskać wiarygodność wśród swoich partnerów.
Jak chronić się przed ransomware BlackMatter?
Z pewnością już wkrótce usłyszymy o kolejnych atakach ransomware BlackMatter na sieci firmowe. Z danych, którymi obecnie dysponujemy wynika, że jest to niezwykle groźny ransomware, którego kod może być z łatwością modyfikowany. Z takim złośliwym oprogramowaniem antywirusy oparte na bazach sygnatur mogą mieć spory kłopot, dlatego do ochrony swojego przedsiębiorstwa lepiej wybrać oprogramowanie antywirusowe, które wykrywa groźne wzorce za pomocą AI, uczenia maszynowego i algorytmiki. Takim rozwiązaniem jest antywirus CylancePROTECT, który zyskał uznanie klientów na całym świecie po tym jak skutecznie zablokował niezwykle groźne ataki ransomware REvil i DarkSide. Chcesz zobaczyć jak w praktyce CylancePROTECT blokuje próbki złośliwego oprogramowania, w tym ransomware? Zapisz się na nasz sierpniowy webinar.
