Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

Intervista con BlackMatter: “abbiamo occupato una nicchia che oggi è vuota”.

Dopo che i famigerati gruppi ransomware REvil e DarkSide hanno annullato le loro operazioni, è emerso un nuovo gruppo, del quale avevamo parlato in precedenza dal nome BlackMatter, che afferma di essere il successore di DarkSide e REvil.

Il gruppo ha pubblicato annunci su forum underground alla ricerca di partner, dove ha riportato l’intenzione di pagare 100 mila dollari per l’accesso a reti di aziende il cui reddito finale è di almeno 100 milioni di dollari.

Advertisements

Ora BlackMatter ha rilasciato la sua prima intervista, in cui ha parlato del suo ransomware e dei suoi piani per il futuro. La conversazione con l’analista della società di sicurezza informatica Recorded Future Dmitry Smelyants è stata condotta in russo.

Secondo un portavoce di BlackMatter, il gruppo sta lavorando sull’omonimo ransomware da sei mesi. Prima di iniziare lo sviluppo del progetto, il gruppo ha studiato ed analizzato in dettaglio i programmi ransomware di altre cyber-gang come LockBit, REvil e DarkSide e ne ha tratto il meglio.

Leggiamo quindi l’intervista svolta da Dmitry Smiyanets (noto per aver intervistato anche il protavoce di REvil UNKNOW).

Advertisements

Dmitry Smiyanets: Il vostro prodotto è apparso di recente e, per quanto ne sappiamo, non ci sono ancora stati attacchi pubblici che hanno utilizzato BlackMatter. Quanto tempo fa hai iniziato a svilupparlo?

BlackMatter: Non ci sono stati ancora attacchi, a giudicare dal blog pubblico. In effetti, ci sono stati e le aziende che abbiamo attaccato stanno già comunicando con noi. Finché le trattative vanno a buon fine non pubblichiamo un post sul blog. Il prodotto è stato in fase di sviluppo negli ultimi sei mesi. Forse sembra semplice (a giudicare dal blog o dalla pagina di comunicazione), ma non lo è: ciò che gli utenti vedono pubblicamente è la punta dell’iceberg. Prima di iniziare il progetto, abbiamo studiato nel dettaglio i seguenti prodotti:

  • LockBit ha una buona base di codice, ma un pannello di controllo striminzito e non funzionante (all’epoca usavamo il loro prodotto). Se la paragoni a un’auto, puoi dire che si tratta di una linea di produzione automobilistica giapponese con buoni motori ma interni vuoti e non funzionanti. Puoi guidarne uno, ma con poco piacere;
  • REvil è un buon progetto nel complesso, software testato nel tempo (da GandCrab, non hanno apportato modifiche significative da allora), un pannello di controllo abbastanza funzionale, ma focalizzato maggiormente sul numero complessivo di “caricamenti” di successo rispetto a crittografia mirata specifica;
  • Darkside è un software relativamente nuovo con una buona base di codice (in parte problematica, ma le idee stesse meritano di essere notate) e una web part interessante rispetto ad altri RaaS.

Il nostro eseguibile ha incorporato le idee di LockBit, REvil e in parte di DarkSide. La web part hanno recepito l’approccio tecnico di DarkSide poiché lo consideriamo il più strutturalmente corretto (aziende separate per ogni target, e così via).

Advertisements

Dmitry Smiyanets: Quanto è difficile organizzare un programma di affiliazione (noto anche come ransomware-as-a-service)?

BlackMatter: Nel complesso non è difficile. Il livello è importante, il RaaS può anche essere offline (quando le build vengono emesse tramite jabber/tox), ma non c’è richiesta di mercato per questo e gli attuali clienti, dopo aver usato REvil e DarkSide, non sono pronti a prendere sul serio tali programmi di affiliazione. Abbiamo ideato un progetto e lo abbiamo portato sul mercato proprio nel momento in cui la nicchia è vacante e il progetto soddisfa pienamente le richieste del mercato, quindi il suo successo è inevitabile.

Dmitry Smiyanets: Più di recente, i gruppi più grandi quali DarkSide, REvil, Avaddon, BABUK sono scomparsi dalle scene. Molti ricercatori ritengono che ciò sia dovuto all’attenzione dei massimi vertici degli Stati Uniti e della Russia sulla situazione degli attacchi ransomware. È vero? Pensi che il tuo prodotto avrà la stessa sorte?

Advertisements

BlackMatter: Sì, crediamo che in larga misura la loro uscita dal mercato sia stata associata alla situazione geopolitica sulla scena mondiale. Prima di tutto, questa è la paura degli Stati Uniti e la loro pianificazione di operazioni cyber offensive, nonché un gruppo di lavoro bilaterale sull’estorsione informatica. Stiamo monitorando la situazione politica, oltre a ricevere informazioni da altre fonti. Durante la progettazione della nostra infrastruttura, abbiamo tenuto conto di tutti questi fattori e possiamo dire di poter resistere alle capacità informatiche offensive degli Stati Uniti. Per quanto? Il tempo lo dirà. Per ora, ci concentriamo sul lavoro a lungo termine. Moderiamo anche gli obiettivi e non permetteremo che il nostro progetto venga utilizzato per crittografare l’infrastruttura critica, che attirerà su di noi inevitabilmente una attenzione indesiderata.

Dmitry Smiyanets: Hai detto che il tuo prodotto riunisce il meglio di DarkSide, REvil e LockBit. Quali sono i loro punti di forza?

BlackMatter: Il nostro progetto ha incorporato i punti di forza di ciascuno dei programmi partner:

Advertisements
  • Da REvil, la loro implementazione era debole e non ben congegnata, abbiamo sviluppato l’idea e l’abbiamo implementata completamente. Abbiamo anche implementato la versione PowerShell della variante ransomware data l’implementazione di REvil.
  • Da LockBit, un approccio all’implementazione della base di codice, abbiamo preso alcune cose da lì, per lo più piccole cose.
  • Da DarkSide, prima di tutto, l’idea di impersonation (la capacità dell’encryptor di utilizzare l’account dell’amministratore del dominio per crittografare le unità condivise con i massimi diritti), abbiamo anche preso in prestito la struttura del pannello di amministrazione.

Dmitry Smiyanets: Sulla base degli ultimi rapporti pubblicati questa settimana, BlackMatter è visivamente molto simile a DarkSide. Puoi confermare che la tua infrastruttura è basata su DarkSide?

BlackMatter: Possiamo dire con sicurezza che siamo fan dell design e abbiamo familiarità con il team di DarkSide per aver lavorato insieme in passato, ma non siamo loro, anche se siamo intimi con le loro idee.

Dmitry Smiyanets: LockBit 2.0 è considerato l’armadietto più veloce del momento. Qual è la velocità di crittografia/decrittografia della tua variante?

Advertisements

BlackMatter: Abbiamo deciso di prepararci scaricando l’ultima versione pubblicamente disponibile di LockBit (fine 06.21) e conducendo dei test possiamo affermare che questo non è vero.

Dmitry Smiyanets: Hai intenzione di aggiungere nuove funzionalità al prodotto, seguendo l’esempio di StealBit?

BlackMatter: Sì, il software viene costantemente migliorato, in termini di nuove funzioni che appariranno nel prossimo futuro, stampa del testo della nota su tutte le stampanti disponibili. Osserviamo anche i nostri concorrenti e implementiamo sempre ciò che riteniamo promettente e richiesto dai nostri clienti.

Advertisements

Dmitry Smiyanets: Ho già visto diversi annunci di reclutamento per la tua squadra. Quanti tester di penetrazione vorresti reclutare? È più facile lavorare con un team piccolo ma forte o con un esercito di script kiddies?

BlackMatter: Ci rivolgiamo a team forti e autosufficienti con esperienza, soluzioni tecniche proprie e un reale desiderio di fare soldi, non qualcuno che vuole provare l’attività. Di solito filtriamo gli script kiddy prima che abbiano accesso al nostro pannello di amministrazione.

Dmitry Smiyanets: Ovviamente ci sono molti professionisti di talento nella tua squadra. Perché questo talento è finalizzato ad attività distruttive? Hai provato il penetration test legale?

Advertisements

BlackMatter: Non neghiamo che il business sia distruttivo, ma se guardiamo più a fondo, come risultato di questi problemi vengono sviluppate e create nuove tecnologie. Se tutto andasse bene ovunque non ci sarebbe spazio per nuovi sviluppi. C’è una vita e prendiamo tutto da essa, la nostra attività non danneggia le persone e si rivolge solo alle aziende, e l’azienda ha sempre la capacità di pagare fondi e ripristinare tutti i suoi dati. Non siamo stati coinvolti in pentest legali e crediamo che questo non possa portare la giusta ricompensa materiale.

Dmitry Smiyanets: Cosa ne pensi degli attacchi effettuati contro l’infrastruttura di Colonial Pipeline o JBS? Ha senso attaccare reti così grandi?

BlackMatter: Pensiamo che questo sia stato un fattore chiave per la chiusura di REvil e DarkSide, abbiamo vietato quel tipo di targeting e non ha senso attaccarli.

Dmitry Smiyanets: Il Dipartimento di Giustizia degli Stati Uniti ha dichiarato di essere stato in grado di recuperare alcuni dei bitcoin pagati da Colonial. Come pensi che sia successo?

Advertisements

BlackMatter: Pensiamo che il team di DarkSide o i suoi partner abbiano trasferito bitcoin su portafogli web, il che ha portato al sequestro delle chiavi private.

Dmitry Smiyanets: Stai acquistando attivamente l’accesso alle reti e dichiari di NON essere interessato a istituzioni governative e mediche. Allo stesso tempo, hai affermato che non crittograferai una gamma più ampia di settori, tra cui infrastrutture critiche, difesa, no-profit e petrolio. Chi ha l’ultima parola per crittografare la rete o no?

BlackMatter: L’ultima parola è nostra. Controlliamo ogni obiettivo e decidiamo se ha potenziali conseguenze negative per noi. La discrepanza tra le industrie nel blog e sul forum è legata al marketing. Nella corrispondenza personale escludiamo quelli che non ci interessano.

Advertisements

Dmitry Smiyanets: Secondo te, quale tipo di accesso alla rete primaria sarà il più semplice nel 2021?

BlackMatter: Non lavoriamo con VPN e altri tipi di accesso iniziale che richiedono molto tempo, ma ci concentriamo sull’ottenimento immediato dell’accesso diretto alla rete.

Dmitry Smiyanets: Che cosa ha più effetto nel motivare l’azienda a pagare: l’indisponibilità dell’infrastruttura o il timore di una fuga di dati?

BlackMatter: Varia da azienda ad azienda. Per alcuni è importante mantenere la riservatezza, per altri è ripristinare l’infrastruttura. Se la rete è completamente crittografata e c’è anche il rischio che i dati vengano pubblicati, molto probabilmente l’azienda pagherà.

Advertisements

Dmitry Smiyanets: Unknown ha parlato di una prospettiva speciale nei confronti delle compagnie assicurative. Pensi che se le compagnie assicurative smettono improvvisamente di coprire gli incidenti ransomware, cambierà il tuo interesse per il ransomware?

BlackMatter: Non cambierà, le aziende continueranno a pagare a prescindere. È possibile che l’importo pagato diminuisca. Ora le spese assicurative sono aumentate, ma temendo di essere soli nel gestire la situazione, tutti continueranno a comprare l’assicurazione.

Dmitry Smiyanets: Cos’è successo con Unknown? Ci sono molte voci, puoi chiarire la situazione?

Advertisements

BlackMatter: Non lo sappiamo. Molto probabilmente, dopo l’ultimo pagamento, è andato in vacanza o sta preparando un rebranding del loro progetto.

Dmitry Smiyanets: Dimmi un segreto.

BlackMatter: Non ci sono segreti, ma crediamo nella nostra patria, amiamo le nostre famiglie e guadagniamo soldi per i nostri figli.

Advertisements