El viernes 7 de mayo de 2021, un afiliado de DarkSide Ransomware-as-a-Service (RaaS) llegó a Colonial Pipeline, un importante oleoducto de EE. UU. El ataque provocó una interrupción generalizada del suministro, titulares mundiales y un intenso escrutinio por parte de las autoridades nacionales. Una semana después, DarkSide anunció que cerraría sus operaciones después de que supuestamente se incautaron sus servidores y se agotaron sus billeteras de criptomonedas. DarkSide fue seguido en aparente retiro por otro servicio de ransomware, REvil , el actor de amenazas detrás del ataque a Kaseya .
A finales de julio, apareció en escena un nuevo RaaS. Llamándose a sí mismo BlackMatter, el ransomware pretende llenar el vacío dejado por DarkSide y REvil, adoptando las mejores herramientas y técnicas de cada uno de ellos, así como del aún activo LockBit 2.0.
SophosLabs decidió examinar más de cerca el malware y las afirmaciones del nuevo adversario para ver qué está pasando realmente.
Nota: Un ransomware como servicio (RaaS) comprende un grupo central de desarrolladores que mantienen el ransomware y los sitios de pago, así como afiliados o “clientes” reclutados que alquilan el ransomware, violan las redes de las víctimas y cifran los dispositivos.
La investigación de Sophos se basa en una muestra del ransomware BlackMatter, con el hash SHA-256: 22D7D67C3AF10B1A37F277EBABE2D1EB4FD25AFBD6437D4377400E148BCC08D6.
La lista de sectores y entidades que este actor de amenazas dice que no atacará refleja los incidentes globales recientes relacionados con el ransomware DarkSide (Colonial Pipeline) y REvil (Kaseya), que atrajeron una atención generalizada y probablemente no deseada.
Los operadores detrás de BlackMatter afirman que su ransomware incorpora las mejores características del ransomware DarkSide, REvil y LockBit 2.0. También dicen que aunque conocen de cerca a los operadores de Darkside, no son las mismas personas.
Para comprender mejor las posibles relaciones entre los grupos de ransomware, SophosLabs ha analizado una muestra de ransomware BlackMatter y ha descubierto una serie de similitudes técnicas con DarkSide y las otras familias de ransomware que vale la pena mencionar.
Cuando las víctimas son atacadas con el ransomware BlackMatter y los archivos en las unidades están encriptados, BlackMatter establece un fondo de pantalla que es muy similar al de DarkSide. Además, como DarkSide, esto se almacena en la misma carpeta en el disco (C: \ ProgramData), con un tamaño de archivo idéntico (2.818.366 bytes), formato de imagen (.BMP) y tamaño de imagen (1706 x 826 píxeles, color de 16 bits). profundidad.)
Aunque DarkSide (y REvil) parecen haber desaparecido de la escena RaaS, hemos detectado un aumento en los ataques de ransomware LockBit 2.0. Un fondo de pantalla de rescate reciente establecido por LockBit contiene un anuncio para contratar a un agente de acceso inicial, posiblemente un informante corporativo, para ayudarlos a violar y encriptar redes para pagos de millones de dólares.
Los actores del ransomware compiten para atraer a los mejores piratas informáticos (socios) para que trabajen para ellos. Para atraer a los posibles reclutas, los grupos quieren demostrar que tienen herramientas y técnicas superiores, por ejemplo, al poder bloquear los datos más rápido que otros.
BlackMatter, DarkSide y LockBit 2.0 emplean un esquema de cifrado parcial, lo que significa que no cifran todo el archivo, sino solo una parte. Esto tiene el mismo efecto, pero acorta significativamente la duración del ataque, ya que solo se lee y se sobrescribe una fracción de un archivo.
Dependiendo del software de protección, ser rápido ofrece una ventaja, ya que a menudo se necesitan unos segundos antes de que la protección inicie un análisis de la memoria y pueda determinar que se está ejecutando un malware en la memoria y los archivos están bajo ataque. Para entonces, es posible que muchos archivos ya estén codificados e inaccesibles.
Sabiendo que las unidades de estado sólido (SSD) o el almacenamiento M.2 NVMe pueden alcanzar velocidades de cientos o miles de megabytes por segundo (MB / s), puede imaginar que atacar solo 1 MB de cada archivo significa que cientos de archivos pueden encriptarse. en un segundo.
