毒王回归？新勒索团伙 BlackMatter 或为 REvil 与 Darkside 卷土重来再作案

6月和7月，勒索软件团伙 DarkSide 和 REvil 轰动全球，DarkSide 攻击了美国最大燃油管道运营商 Colonial Pipeline，导致国家宣布进入紧急状态；REvil 入侵了IT管理软件商 Kaseya，造成迄今为止最大的供应链攻击。

在政府采取一系列措施后，这两个团伙终于低调下来，REvil 相关的网站更是主动关闭运营。就在大家以为“毒王”将要终结时，近日，一个新的勒索软件团伙——BlackMatter 出现了。


他们目前正通过网络犯罪论坛发布广告招募合作伙伴，业内暂时还没发现使用 BlackMatter 开展的攻击。但这个组织颇有 REvil 与 Darkside 的影子，并且其计划施展的攻击不走寻常路，这引起了安全419 的注意。
 
据最早发现 BlackMatter 的安全厂商 Recorded Future 及其新闻部门The Record 的报道，BlackMatter 宣称自己是 Darkside 和 REvil 的继任者，整合了两者的功能和优势，能够加密不同的操作系统版本和架构，包括 Windows 系统(通过SafeMode)、Linux (Ubuntu、Debian、CentOS)、VMWare ESXi 5+ 虚拟端点和网络附属存储(NAS)设备(例如 Synology、OpenMediaVault、FreeNAS和TrueNAS)。

但与这些“前辈”不同的是，BlackMatter 将攻击目标瞄准为年收入超过 1 亿美元、网络中有 500-15,000 台主机的大企业身上，并表示不会勒索医疗保健、关键基础设施（核电站、发电厂、水处理设施）、石油和天然气（管道、炼油厂）、国防、非营利组织和政府部门。

类似如今大多数勒索软件团伙一样，BlackMater 在暗网上也运营着一个网站方便他们实施双重勒索——如果被勒索的企业拒绝支付赎金进行解密，他们就会在此泄露入侵时窃取到的数据。


看起来，BlackMater 是打算放长线钓大鱼，专攻有实力、有财力的大公司，而且专门避开了民生、基建等相关的会影响社会正常运转和国家安全的行业，与其说他们“有道德”，不如说他们是吸取了前人没落的教训。

作为最早关注这个新兴勒索团伙的机构，Recorded Future 的分析师 Dmitry Smilyanets 近日与 BlackMater 进行了交谈，了解 BlackMatter 如何从其他勒索软件组织中吸取教训，他们招募合作伙伴的标准，以及他们为何要避开攻击某些行业。

安全419 编译部分重点访谈内容如下，让大家更清晰地了解这个来势汹汹的勒索团伙，以及勒索攻击这个虎视眈眈的网络犯罪产业，知己知彼，有备无患。

Q：你们的产品最近才出现，据我们所知，目前还没有使用 BlackMatter 的公开攻击，你们什么时候开始开发的？

A：如果你从公共博客来看，目前还没有任何攻击。事实上，我们所攻击的企业已经与我们进行了沟通。只要谈判成功，我们就不会在博客上发布。

这个产品已经开发了六个月。从博客页面判断也许觉得很简单，但事实并非如此——用户看到的只是冰山一角。

在项目开始之前，我们仔细研究了以下产品：
·LockBit 有一个很好的代码库，但它是一个缺乏功能的面板。如果把它比作一辆汽车，你可以说这是一条日本汽车生产线，发动机很好，但内部空空如也。
·REvil 总体上是一个很好的项目，经受了时间的考验（自 GandCrab 以来，他们没有进行任何重大编辑），具有相当实用的面板。
·与其他 RaaS 相比，Darkside 是一个相对较新的软件，具有良好的代码库（部分有问题，但想法本身值得关注）和有趣的 Web 部件。

可执行文件本身结合了 LockBit、REvil 和部分 DarkSide 的思想。Web 部件采用了 DarkSide 的技术方法，因为我们认为它在结构上是最正确的。


Q：组织 RaaS（勒索软件即服务）计划有多难？

A：总体来说，不太困难。这个级别很重要，RaaS 也可以离线（当构建是通过 jabber/tox 发布时），但是这个版本没有市场需求，现在的客户在使用 REvil 和 DarkSide 后，还没有准备好认真对待此类联盟计划。我们创建了一个项目并将其推向市场，项目完全满足市场需求，因此它的成功是必然的。


Q：最近，许多大的组织—— DarkSide、REvil、Avaddon、BABU 都消失了。研究人员们认为，这是由于美国和俄罗斯高层对勒索攻击情况的关注。这是真的吗？你认为你们的产品会有同样的命运吗？

A：是的，我们认为他们退出市场在很大程度上与世界舞台上的地缘政治局势有关。我们正在监视政治局势，并从其他来源接收信息。在设计我们的基础设施时，已经考虑了所有这些因素，可以说，我们能够抵御美国的网络攻击能力。

多久？时间会证明一切。目前，我们专注于长期工作，还对目标进行了调整，不会允许我们的项目被用于加密关键基础设施，这会引起不必要的关注。


Q：你提到你们的产品汇集了 DarkSide、REvil 和 LockBit 的精髓。他们的强项是什么？

A：我们的项目结合了每个合作伙伴计划的优势：
·从 REvil-SafeMod e开始，他们的实施很薄弱，没有经过深思熟虑，我们对其进行了深入的研究并彻底实施，我们还实现了变体的 PowerShell 版本。
·从 LockBit （一种实现代码库的方法）中，我们获取了一些功能，主要是一些小的功能。
·DarkSide 的话，首先，这是模拟的想法——加密者使用域管理员帐户，以最大权限加密共享驱动器。我们还从 DarkSide 那里借用了管理面板的结构。


Q：我已经看到了你们团队的招聘公告。你想招聘多少渗透测试人员？是更容易与一个小但强大的团队合作，还是与一群代码脚本小子？

A：我们面向的是强大的、自给自足的团队，有丰富的经验和自己的技术解决方案，以及真正渴望赚钱，而不仅仅是想要尝试这项业务的人。


Q：显然，你的团队中有很多专业人士。为什么要将这种能力用于破坏性活动？你是否尝试过合法的渗透测试？

A：我们不否认商业具有破坏性，但如果深入观察会发现，也正是由于这些问题，让新技术得到了发展和创造。如果所有的一切都是向好的，就不会有新的发展空间。

我们的业务不伤害个人，只针对企业，企业始终有支付资金并恢复其所有数据的能力。

我们没有参与法律保护下的渗透工作，我们认为这不会带来相匹配的物质回报。


Q：你如何看待针对 Colonial Pipeline或JBS(全球最大肉食品加工商)的勒索攻击？攻击这么大的网络有意义吗？

A：我们认为这是 REvil 和 DarkSide 被关闭的一个关键因素，我们已经禁止攻击这种类型的目标，进攻它们没有意义。


Q：你们正在积极购买网络访问权限并声明对政府和医疗机构不感兴趣，同时表示不会对关键基础设施、国防、非营利组织和石油进行加密。谁拥有加密网络的最终决定权？

A：我们检查每个目标并确定它是否对我们有潜在的负面影响。博客和论坛上的行业差异与市场营销有关。在私信中，我们会过滤掉那些我们不感兴趣的。


Q：在你看来，2021 年哪种类型的网络最容易访问？

A：我们不使用 VPN 和其他耗时类型的初始访问，而是专注于立即直接访问网络。


Q：什么更能促使企业付费：基础设施不可用，或者是担心数据泄露？

A：这因企业而异。对于某些人来说，保证机密性很重要，而对于另一些人来说， 则是恢复业务运转。如果网络是完全加密的并且数据还有被公布的风险，企业很可能会付费。


Q：如果保险公司突然停止承保勒索软件事件，你对勒索软件的兴趣是否会改变？

A：不会改变，企业会继续付钱，支付的金额可能会减少。现在保险费已经上涨了，因为担心自己孤军奋战，大家还是愿意继续购买保险。