分析師發現，一個新的勒索軟件團伙本周開始運作，聲稱結合了現已解散的 Darkside和REvil勒索軟件組織的最佳功能。

　　該新勒索組織名為BlackMatter（記住這個名字，新的勒索王出現，勒索江湖又將腥風血雨），目前正在通過在兩個名為Exploit和XSS的網絡犯罪論壇上發布的廣告招募附屬機構（合作者）。

　　盡管自5月以來，這兩個論壇上都禁止了勒索軟件操作的廣告 ，但 BlackMatter組織并未直接為其勒索軟件即服務 （RaaS） 產品做廣告，而是發布了招募“初始訪問經紀人”的廣告，該術語用于描述可以訪問被黑企業網絡的個人。

　　根據該團伙的廣告，BlackMatter有興趣與經紀人合作，他們可以授予其訪問頂級企業網絡的權限——需要這些公司的年收入為1億美元或以上。

　　根據BlackMatter團伙的說法，目標受害者需要擁有500到15000臺主機，并且位于美國、英國、加拿大或澳大利亞。

　　BlackMatter團隊表示愿意支付高達100000美元以獨家訪問這些高價值網絡中的任何一個。一旦小組找到合適的目標，他們將使用經紀人授予的訪問權限來部署接管公司內部系統的工具，然后部署他們的文件加密負載。

　　該小組吹噓能夠加密不同的操作系統版本和架構。包括 Windows 系統（通過 SafeMode）、Linux（Ubuntu、Debian、CentOS）、VMWare ESXi 5+ 虛擬端點和網絡附加存儲 （NAS） 設備（例如 Synology、OpenMediaVault、FreeNAS 和 TrueNAS）。

　　BlackMatter還經營著一個暗網泄密網站

　　就像當今大多數頂級勒索軟件團伙一樣，BlackMater在暗網上也運營著一個網站——稱為泄密網站——如果被黑客入侵的公司不同意支付解密文件的費用，它會在那里發布他們從受害者那里竊取的數據。

　　該站點目前是空的，研究人員確認BlackMatter組僅在本周啟動，尚未進行任何入侵。在網站的某個部分，BlackMatter組織還列出了一系列他們不打算攻擊的目標。這包括[原文]：

　　醫院。

　　關鍵基礎設施（核電站、發電廠、水處理設施）。

　　石油和天然氣工業（管道、煉油廠）。

　　國防工業。

　　非盈利公司。

　　政府部門。

　　BlackMatter團伙聲稱，如果來自這些垂直行業的受害者被感染，他們計劃免費解密他們的數據。這部分與之前在 Darkside團伙泄漏現場可用的部分非常相似，后者在美國管道運營商Colonial遭到襲擊后停止運營。

　　BlackMatter是DarkSide還是REvil？

　　從上面兩個鏈接，我們知道DarkSide和REvil勒索團隊都偃旗息鼓，神秘關閉。那么新成立的BlackMatte到底是DarkSide還是REvil？

　　安全研究人員發現的信息以及網站和合作伙伴中的相似之處可能表明BlackMatter已經招募或由之前參與過DarkSide和REvil勒索軟件操作的威脅行為者創建。

　　由于勒索軟件團伙通常會更名以逃避執法，當我們于2020年8月首次報道 DarkSide時，一些安全研究人員和執法部門認為REvil正在更名為新的 DarkSide行動。

　　然而，這兩個幫派繼續并肩作戰了將近一年，直到DarkSide襲擊了Colonial Pipeline。感受到美國政府和執法部門的全面壓力，DarkSide于5月關閉了其運營。

　　DarkSide的關閉首先是由REvil的面向公眾的代表Unknown報道的，他在一個黑客論壇上發布了有關它的信息。這似乎表明兩個團隊的上層有交匯，或隸屬于同一個大集團之下。

　　兩個月后，  REvil在通過零日Kaseya VSA漏洞對全球托管服務提供商進行大規模攻擊后關閉。與DarkSide一樣，REvil也感受到來自美國政府 和國際執法部門的巨大壓力。外界普遍猜測是俄羅斯政府讓他們關閉并消失一段時間。

　　在看到BlackMatter Tor站點后，安全研究人員發現它與現已解散的DarkSide 勒索軟件的Tor站點非常相似。兩個頁面共享相似的顏色主題、相似的語言、相似的自稱方式，還包括他們不會攻擊的目標列表。

　　BlackMatter表示，“該項目已將 DarkSide、REvil和LockBit的最佳功能融入其中。”

　　最后，網絡安全公司Mandiant看到的跡象表明，以前與DarkSide有聯系的黑客現在正在與BlackMatter合作。“我們已經看到一些跡象表明，目前至少有一個與某些 DARKSIDE 勒索軟件操作有關的參與者正在與BLACKMATTER保持一致，”Mandiant 金融犯罪分析主管Kimberly Goody說。“這并不一定令人驚訝，因為我們經常看到勒索軟件附屬公司與多個提供商合作。”

　　雖然許多線索表明這可能是DarkSide的品牌重塑，或者可能是由兩個團體的演員創建的，但在對勒索軟件樣本進行代碼相似性分析之前，我們無法確定。

　　在解密器中發現的加密算法表明，臭名昭著的DarkSide勒索軟件團伙已重新命名為新的BlackMatter勒索軟件操作，并正在積極對公司實體進行攻擊。本周，我們知道BlackMatter正瞄準了多名受害者，贖金要求從3美元到400萬美元不等。

　　本周，一名受害者已經向BlackMatter支付了400萬美元的贖金，以刪除被盜數據并獲得Windows和Linux ESXi解密器。

　　在研究新的勒索軟件組織時，研究人員發現了來自BlackMatter受害者的解密器，并將其分享給Emisosft首席技術官和勒索軟件專家Fabian Wosar。在對解密器進行分析后，Wosar確認新的BlackMatter組織正在使用與DarkSide在其攻擊中使用的相同的獨特加密方法。

　　Wosar說，BlackMatter使用的加密程序與DarkSide幾乎相同，包括DarkSide獨有的自定義Salsa20矩陣。在使用Salsa20 加密算法加密數據時，開發人員提供了一個由16個32位字組成的初始矩陣。

　　在加密文件時，Fabian說，對于每個加密文件，DarkSide不是使用常量字符串、位置、隨機數和密鑰，而是用隨機數據填充單詞。然后使用公共RSA密鑰對該矩陣進行加密并存儲在加密文件的頁腳中。

　　Fabian說這個Salsa20實現以前只被DarkSide使用，現在是BlackMatter。研究人員還被告知DarkSide使用了其加密器獨有的RSA-1024，BlackMatter也使用了該加密器算法。

　　雖然沒有100%的證據表明BlackMatter是DarkSide行動的更名，但許多類似的特征讓人很難相信事實并非如此。當我們采用相同的加密算法、BlackMatter網站上使用的類似語言、媒體關注的類似渴望以及他們的TOR網站的類似顏色主題時，最終都指向BlackMatter非常非常疑似是新的DarkSide。

　　不幸的是，這是一個以多種設備架構為目標的高技能團隊，包括Windows、Linux和ESXi服務器。因此，我們需要密切關注這個新組織，因為他們將來肯定會對知名目標進行攻擊。