Due famigerati gruppi di cybercriminali sembrano aver unito le forze. Alcuni ricercatori di sicurezza hanno scoperto che il nuovo gruppo BlackMatter presenta diverse similitudini con DarkSide e REvil, noti per aver effettuato attacchi ransomware contro Colonial Pipeline e Kaseya. La loro scomparsa dal dark web è stata quindi solo temporanea.
DarkSide + REvil = BlackMatter?
Il nuovo gruppo BlackMatter ha annunciato l’inizio delle attività a fine luglio. Con un post pubblicato su un forum sono stati comunicati i dettagli del Ransowmare-as-a-Service. Il gruppo vuole acquistare accessi alle reti di aziende in quattro paesi (Stati Uniti, Canada, Australia e Gran Bretagna) che soddisfano determinati requisiti, tra cui entrate di almeno 100 milioni di dollari, tra 500 e 15.000 dispositivi connessi alla rete, non bersagli di altri attacchi.
Sul sito Tor nel dark web sono presenti ulteriori dettagli. Il gruppo specifica che non attaccherà ospedali, infrastrutture critiche (raffinerie, impianti nucleari, centrali elettriche e simili), industrie che operano nel settore della difesa, organizzazioni non-profit e agenzie governative.
Il ransomware viene distribuito in diverse versioni per consentire attacchi contro più sistemi operativi e architetture. Le fonti di BleepingComputer hanno confermato che ci sono attacchi in corso e una delle vittime ha già pagato un riscatto di 4 milioni di dollari. Alcuni ricercatori di sicurezza ritengono che il gruppo BlackMatter è formato da ex membri di DarkSide, REvil e LockBit.
Dopo aver ricevuto il decryptor da un vittima, Emsisoft ha scoperto che il codice è praticamente identico a quello del tool di DarkSide. BlackMatter potrebbe essere quindi il nuovo nome del gruppo.