BlackMatter – новое название группировки DarkSide?
1 августа 2021 года
Криптографические алгоритмы, используемые в инструменте для дешифровки файлов, зашифрованных недавно появившейся кибервымогательской группировкой BlackMatter, указывают на то, что BlackMatter – это та же нашумевшая киберпреступная группировка DarkSide, но с другим названием.
После громкой кибератаки на крупнейшего в США оператора трубопровода Colonial Pipeline, приведшей к дефициту бензина на всем юго-восточном побережье страны, правоохранительные органы по всему миру, и в особенности американские, начали настоящую охоту на DarkSide. В мае нынешнего года группировка внезапно лишилась доступа к своим серверам и криптовалютным активам, которые оказались захвачены неизвестными, и была вынуждена завить о прекращении своих операций. Как стало известно позднее, ФБР удалось отобрать у DarkSide 63,7 биткойна из 75, заплаченных Colonial Pipeline вымогателям за восстановление файлов.
На этой неделе на кибервымогательскую арену вышла
новая группировка под названием BlackMatter, заявившая на хакерских форумах о том, что готова заплатить до $100 тыс. за доступ к корпоративным сетям крупных компаний. При этом ее интересуют только компании с годовым доходом $100 млн и больше.
Как сообщает BleepingComputer, у BlackMatter есть уже как минимум одна жертва, заплатившая выкуп в размере $4 млн за декрипторы для своих Windows- и Linux ESXi-устройств. Порталу удалось получить этот декриптор, который он передал ИБ-эксперту Фабиану Восару (Fabian Wosar) для анализа.
Восара, BlackMatter использует тот же уникальный метод шифрования, что и DarkSide. Сам процесс шифрования данных (в частности, использование эксклюзивной для DarkSide матрицы Salsa20) BlackMatter практически идентичен DarkSide.
В процессе шифрования данных с использованием криптографического алгоритма Salsa20 разработчик предоставляет первоначальную матрицу из шестнадцати 32-битных слов. Как пояснил Восар, вместо постоянных строк, положения, одноразового случайного числа и ключа для каждого файла DarkSide заполняет каждое слово случайными данными. Эта матрица затем шифруется с помощью открытого RSA-ключа и сохраняется в колонтитуле зашифрованного файла.
По словам Восара, матрица Salsa20 ранее использовалась исключительно группировкой DarkSide. Кроме того, DarkSide использовала реализацию RSA-1024, уникальную для ее декриптора. Теперь Salsa20 и реализация RSA-1024 используются группировкой BlackMatter.
Безусловно, стопроцентных доказательств того, что BlackMatter – это новое название все той же DarkSide, нет, однако в операциях обеих группировок есть очень много общего. Такой же язык, используемый на сайтах, такое же стремление к вниманию СМИ и похожие цветовые темы для сайтов TOR – все указывает на то, что BlackMatter представляет собой ребрендинг DarkSide.
Еще один факт, свидетельствующий в пользу того, что BlackMatter и DarkSide – это одна и та же группировка, – публичное
заявление об отказе атаковать «нефтегазовую промышленность (топливопроводы и нефтеперерабатывающие заводы)». Ведь именно атака на топливопровод привела к закрытию операций DarkSide.
Источники
править| Эта статья содержит материалы из статьи «BlackMatter – новое название группировки DarkSide?», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
