Os sucessores dos grupos de hackers Darkside e REvil se anunciaram na Internet

Esta semana, a internet revelou sinais da primeira atividade de um novo grupo cibercriminoso, posicionando-se como sucessora das agora extintas equipes de hackers Darkside e REvil, que usaram ransomware em seus ataques. Estamos falando do grupo BlackMatter, que atualmente busca parceiros por meio de fóruns de hackers para realizar ataques contra grandes empresas.

Imagem: Futuro Gravado

Os anúncios da BlackMatter em vários fóruns especializados foram notados por especialistas da empresa de segurança da informação Recorded Future. Embora os hackers usem fóruns para encontrar parceiros onde a publicidade de serviços de ransomware (Ransomware-as-a-Service) é proibida, na verdade eles não violam as regras. O fato é que eles procuram os chamados “corretores de entrada”, pessoas que estão dispostas a fornecer acesso a redes corporativas por uma recompensa sólida para que os hackers possam espalhar seu malware.

Atualmente, a BlackMatter está pronta para cooperar com pessoas que fornecerão acesso a redes de organizações com uma receita anual de mais de US $ 100 milhões. As empresas dos Estados Unidos, Grã-Bretanha, Canadá e Austrália são de grande interesse, em cuja TI corporativa infraestrutura envolvida de 500 a 15 mil postos de trabalho. Para fornecer acesso a essas empresas, os hackers estão dispostos a pagar US $ 100 mil.

Imagem: Futuro Gravado

Depois de obter acesso às redes corporativas, os hackers pretendem implantar ransomware dentro delas, que criptografará arquivos nos computadores dos funcionários da empresa, paralisando o trabalho, e exigirá um resgate para descriptografar os dados. O anúncio diz que os hackers têm a capacidade de atacar diferentes dispositivos que executam diferentes sistemas operacionais. Estamos falando de dispositivos com Windows, Linux (Ubuntu, Debian e CentOS), endpoints virtuais VMWare ESXi 5+, bem como armazenamento NAS.

A BlackMatter também tem seu próprio site, onde os hackers planejam publicar dados roubados durante os ataques. O site está vazio no momento, o que confirma a alegação de que os invasores acabaram de iniciar suas atividades. O site contém informações de que a BlackMatter não atacará instituições médicas, infraestrutura crítica, indústria de defesa, empresas sem fins lucrativos e organizações do setor público. Se representantes desses setores forem afetados durante os ataques, os hackers fornecerão chaves de descriptografia gratuitamente.