Las ofertas de trabajo en ocasiones pueden llegar del lado más oscuro. Un nuevo grupo de ransomware, apodado BlackMatter, ha comenzado a reclutar de forma activa colaboradores para atacar organizaciones a gran escala.
En sus anuncios, que publican en foros de cibercrimen, indican estar interesados en atacar compañías con ingresos de más de 100 millones de dólares. Algunos titulares sitúan a esta banda como la sucesora de la ya desmantelada DarkSide, otros apuntan hacia un retorno de dicho grupo, y la verdad es que aún no está muy claro cómo evolucionará esta banda de reciente formación que ya se ha cobrado sus primeras víctimas.
No es de extrañar la vinculación con DarkSide; se han identificado similitudes en los algoritmos de cifradoy, de hecho, está levantando reglas Yara definidas por los analistas para DarkSide. En VirusTotal, en el momento de la redacción de este artículo, ya aparecían 14 muestras vinculadas con BlackMatter, donde 12 de ellas habían despertado las reglas Yara definidas para Darkside.
DarkSide emergió en Agosto de 2020, anunciándose como un «producto nuevo». Tiene, a su vez, similitudes con el ransomware REvil (por ejemplo, la nota). Casi un año después es cuando BlackMatter se ha dado a conocer. De las noticias más recientes, tal vez la que más llame la atención es la entrevista hecha al grupo por Recorded Future.
En dicha entrevista, se asegura que los ataques ya se están produciendo, y que en efecto algunas víctimas ya han pagado. Esto último corroboraría otras fuente en las que se afirma que, en efecto, hay víctimas y que las cantidades solicitadas por los delincuentes se sitúan en el rango de 3-4 millones de dólares.
Alardean de disponer de un buen producto desarrollado en los últimos seis meses, elaborado gracias al aprendizaje de tres productos (ransomware) previos: LockBit, REvil y DarkSide. De cada uno indican qué es lo que ven mejorable y también dan ciertas pinceladas de lo que han podido aprovechar.
De LockBit indican que no es nada funcional, pero aún así toman algunas partes del código base (sin especificar). REvil sí lo consideran funcional, pero más centrado en el número de afectados que en objetivos específicos. Reimplementan su SafeMode, y también la versión de PowerShell empleada. Sobre DarkSide apuntan que el código base es parcialmente problemático. Una de las funcionalidades que dicen aprovechar es la idea de suplantación, y también el panel de administración.
Más allá de los comentarios previos, los análisis sobre las primeras muestras sí que parecen reflejar más parecido con DarkSide, por lo expuesto anteriormente. Para observar cuáles son las partes más representativas de este ransomware habrá que esperar a conocer los análisis y comparativas de las nuevas muestras.
También afirman alejarse de las infraestructuras críticas, con el objetivo de no atraer la atención. De hecho, están de acuerdo con que el ataque contra la infraestructura de Colonial Pipeline fue uno de los factores claves para el cierre de REvil y DarkSide. Sus planes son a largo plazo y no quieren verse afectados por «escándalos» mediáticos que afecten su negocio.
Cabe destacar que es un ransomware preparado para múltiples sistemas operativos y plataformas, sus autores se encargan de dejar esto muy claro sobre su producto. Testado en Windows Server 2003+ x86/x64 y Windows 7+ x64/x86, y en Linux ESXi 5+, Ubuntu, Debian, y CentOS, con soporte para varios sistemas de ficheros para Linux VMFS, VFFS, NFS, VSAN.
Estamos en una situación en la que, como bien se dice desde el artículo de Kaspersky, el ransomware tristemente ya es una industria. Acompañando a las notas de prensa propias, alabando su producto y procurando resultar creíbles en sus amenazas, sumamos también entrevistas concedidas a representantes.
Tan sólo nos queda estar informados de estos hechos, y aumentar las precauciones. Aprender de lo que nos cuentan de sí mismos y preparar nuestras defensas para lo que venga.