BlackMatter, nuevo grupo de ransomware que afirma ser el sucesor de Revil y Darkside
julio 30, 2021Se confirmó la aparición de un nuevo actor de amenazas tras el cierre de DarkSide y REvil, lo cual podría ser un rebranding de esos grupos ya que su origen es desconocido. BlackMatter está buscando afiliados y ha publicado anuncios en dos foros de ciberdelincuencia: XSS y Exploit. BlackMatter comparte reglas de orientación similares a […]
Se confirmó la aparición de un nuevo actor de amenazas tras el cierre de DarkSide y REvil, lo cual podría ser un rebranding de esos grupos ya que su origen es desconocido. BlackMatter está buscando afiliados y ha publicado anuncios en dos foros de ciberdelincuencia: XSS y Exploit.
BlackMatter comparte reglas de orientación similares a las afirmadas por UNKN (portavoz de REvil), que incluyen no apuntar a instalaciones gubernamentales y de atención médica y organizaciones sin fines de lucro.
Usan la misma táctica que involucra bases de datos corporativas públicas para buscar objetivos potenciales. Además de esto, la clave del Registro de Windows de REvil estaba etiquetada como BlackLivesMatter.
Todos los puntos anteriores indican que REvil puede no haber desaparecido por completo, pero se tomó un breve descanso de todos los ataques. Sin embargo, no se debe descartar la posibilidad de que este grupo sea un imitador, copiando intencionalmente REvil para ganar credibilidad rápidamente.
El sitio de filtración de BlackMatter es inquietantemente similar al sitio de filtración de DarkSide que ahora está desaparecido. Además, BlackMatter declaró explícitamente que no apuntará a ninguna infraestructura crítica, como un guiño al ataque a la línea Colonial Pipeline de DarkSide. Sin embargo, no se ha detectado ninguna evidencia concreta que conecte a las dos pandillas y la investigación continúa.
En estos días, no hay escasez de actores de ransomware en la DarkWeb. Están surgiendo nuevos actores de amenazas a medida que sienten la necesidad de llenar el vacío dejado por REvil y DarkSide. BlackMatter está buscando afiliados con acceso a grandes redes corporativas en EE. UU., Reino Unido, Australia o Canadá. Si bien el grupo no declara abiertamente que es un operador de un colectivo de ransomware para evitar el escrutinio, sus objetivos son una clara indicación de que lo es.
