Преемники хакерских группировок Darkside и REvil заявили о себе в интернете

На этой неделе в интернете были обнаружены признаки первой активности новой киберпреступной группировки, позиционирующей себя в качестве преемника ныне не существующих команд хакеров Darkside и REvil, которые использовали в ходе атак вымогательское программное обеспечение. Речь идёт о группировке BlackMatter, которая в настоящее время через хакерские форумы ищет партнёров для проведения атак против крупных компаний.

Изображение: Recorded Future

Объявления BlackMatter на нескольких специализированных форумах заметили специалисты компании Recorded Future, работающей в сфере информационной безопасности. Хотя хакеры используют для поиска партнёров форумы, на которых запрещена реклама услуг по предоставлению программ-вымогателей (Ransomware-as-a-Service), фактически они не нарушают правил. Дело в том, что они ищут так называемых «брокеров начального доступа», людей, которые готовы за солидное вознаграждение предоставить доступ к корпоративным сетям, чтобы хакеры могли распространить в них своё вредоносное ПО.

В настоящее время BlackMatter готова сотрудничать с людьми, которые предоставят доступ к сетям организаций с ежегодным доходом более $100 млн. Наибольший интерес представляют компании из США, Великобритании, Канады и Австралии, в корпоративной IT-инфраструктуре которых задействовано от 500 до 15 тысяч рабочих станций. За предоставление доступа к таким предприятиям хакеры готовы заплатить $100 тысяч.

Изображение: Recorded Future

После получения доступа к корпоративным сетям хакеры намерены развернуть внутри них вымогательское ПО, которое зашифрует файлы на компьютерах сотрудников компании, тем самым парализуя работу, и будет требовать выкуп за расшифровку данных. В рекламном сообщении сказано, что хакеры имеют возможность атаки различных устройств, работающих под управлением разных операционных систем. Речь идёт об устройствах с Windows, Linux (Ubuntu, Debian и CentOS), виртуальных конечных точках VMWare ESXi 5+, а также NAS-хранилищах.

В распоряжении BlackMatter также имеется собственный веб-сайт, на котором хакеры планируют публиковать украденные в ходе атак данные. В настоящее время сайт пуст, что подтверждает утверждение касательно того, что злоумышленники только начали свою деятельность. На сайте имеется информация о том, что BlackMatter не будет атаковать медицинские учреждения, объекты критической инфраструктуры, предприятия оборонной промышленности, некоммерческие компании и организации из государственного сектора. Если в ходе атак будут затронуты представители упомянутых секторов, хакеры предоставят ключи для дешифровки бесплатно.

Источник: