BlackMatter-Ransomware

Es scheint, dass die Lücke, die hinterlassen wurde, nachdem zwei der größten Ransomware-Unternehmen beschlossen hatten, ihre Aktivitäten plötzlich einzustellen, nun von neuen Akteuren auf diesem Gebiet gefüllt wird. REvil und Darkside stellten den Betrieb ein, nachdem die Gruppen massive Ransomware-Angriffe durchgeführt hatten, die anscheinend zu viel unerwünschte Aufmerksamkeit erregten. REvil kompromittiert die Netzwerke des globalen Fleischproduzenten JBS und des Managed-Network-Services-Anbieters Kaseya, während Darkside den Betrieb des Ölpipeline-Betreibers Colonial Pipeline störte.

Nun behauptet ein neues Ransomware-Unternehmen namens BlackMatter, die Fähigkeiten von REvil und Darkside integriert zu haben. Die Analysten von Recorded Future entdeckten die Gruppe, die sich in unterirdischen Hacker-Foren bewarb. Um die jüngste Entscheidung der Foren zu umgehen, Beiträge zu verbieten, die sich mit RaaS-Schemata (Ransomware-as-a-Service) befassen, sucht BlackMatter stattdessen nach "Initial Access Brokers". In der Praxis bedeutet dies, dass die neu gegründete Ransomware-Gang versucht, sich Zugang zu bereits kompromittierten Unternehmensnetzwerken zu erkaufen.

Opfer müssen strenge Anforderungen erfüllen

In den veröffentlichten Anzeigen gibt BlackMatter an, dass sie nur an den größten Unternehmen interessiert sind, die in vier bestimmten Ländern tätig sind - den USA, Kanada, Australien und Großbritannien. Die potenziellen Opfer müssen außerdem einen Jahresumsatz von 100 Millionen US-Dollar oder mehr haben. Darüber hinaus müssen die durchbrochenen Netzwerke zwischen 500 und 15 Tausend Hosts haben. Für Ziele, die die Kriterien erfüllen, sind die Hacker bereit, bis zu 100.000 US-Dollar zu zahlen, um ihren exklusiven Zugang zu garantieren.

Sobald die Gruppe Zugriff auf das ausgewählte Unternehmensnetzwerk erhalten hat, wird sie bedrohliche Tools freigeben, die mit der Herstellung der Kontrolle über die internen Systeme beauftragt sind. Der nächste Schritt besteht darin, Verschlüsselungsbedrohungen bereitzustellen, um die auf den infizierten Geräten gespeicherten Daten zu sperren. BlackMatter ist offenbar bereit, eine große Anzahl verschiedener Systeme zu kompromittieren, darunter Windows, Linux, Network Attached Storage (NAS)-Geräte und virtuelle VMWare ESXi 5+-Endpunkte.

Leak-Site im Dark Web

Genau wie die meisten aktuellen Ransomware-Gangs hat BlackMatter auch eine eigene dedizierte Leak-Site erstellt, die im Dark Web gehostet wird. Laut den Recorded Future-Forschern ist die Seite derzeit leer, ein Beweis dafür, dass sich die Gruppe erst kürzlich gebildet hat. Es gibt jedoch einige Beweise, die diese Annahme in Frage stellen. Ein Abschnitt auf der neu entstandenen Leak-Site, der eine Liste von Entitäten beschreibt, die von der Gruppe nicht ins Visier genommen werden, weist eine auffallende Ähnlichkeit mit dem auf, was zuvor auf Darksides Site verfügbar war. Auch die bisher von Analysten entdeckte Infrastruktur der BlackMatter-Operation könnte eine Verbindung zu Darkside hergeben, aber im Moment ist nichts schlüssig genug.

Dennoch wird BlackMatter laut seiner Website aktiv vermeiden, Krankenhäuser, kritische Einrichtungen wie Kraftwerke, Organisationen der Öl- und Gasindustrie, gemeinnützige Organisationen und andere Einrichtungen von öffentlicher Bedeutung zu gefährden. Die Hacker versprechen, wenn sie versehentlich die Systeme eines Unternehmens aus einem der ausgeschlossenen Sektoren verschlüsseln, dann helfen sie bei der kostenlosen Entschlüsselung aller gesperrten Daten.