Red Hot Cyber
La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed
incentiva gli altri a fare meglio di te.
Menu
La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed
incentiva gli altri a fare meglio di te.
Redazione RHC : 10 Dicembre 2021 06:52
Abbiamo parlato moltissimo di Darkside e dell’attacco alla Colonial Pipeline, ma anche del fatto che parte di DarkSide si è riciclata in un nuovo RaaS Blackmatter, che si sono ritirati di recente.
Dal canale telegram di Russian Osint, vi proponiamo una seconda intervista a Black Matter, dopo quella condotta questa estate che riporta un altro punto di vista alternativo sull’argomento ransomware.
Supporta Red Hot Cyber attraverso
Domanda: Il nome è BlackMatter, c’è una connessione con DarkSide? Gli esperti occidentali di sicurezza delle informazioni hanno affermato che il nome è un re-brand del vecchio nome DarkSide. Quindi chi sei tu?
Risposta: C’erano diverse personalità dietro i progetti BlackMatter, ma erano collegate solo da una cosa: l’acquisto dei codici sorgente, prima della chiusura di DarkSide.
I codici sorgente del pannello di amministrazione e di Windows sono stati acquistati, il malware per Linux è stato sviluppato da zero, poiché non è stato raggiunto alcun accordo sulla vendita del codice sorgente.
Domanda: Forse la popolarità del programma di affiliazione dipende in gran parte dal numero di menzioni di attacchi sui media, dai nomi dei marchi aziendali e dai dollari dei riscatti. È difficile per gli specialisti della sicurezza non informatica distinguere Avaddon da Conti, REvil da Maze, Lockbit da Babuk. Quindi, qual è la differenza fondamentale tra i ransomware oggi in circolazione?
Risposta: Si tratta di marketing e posizionamento, così come le caratteristiche tecniche. In generale, i malware non differiscono in modo significativo l’uno dall’altro.
Domanda: Perché il progetto Black Matter ha scelto REvil, DarkSide e LockBit come riferimento e non Avaddon, Conti, Maze, Babuk?
Risposta: I primi due progetti sono dovuti alla loro strategia di posizionamento sul mercato, nonché per le soluzioni innovative. Lockbit ha unico vantaggio, una base di codice Windows decente. Il resto dei progetti non è stato considerato a causa del loro primitivo livello di sviluppo o assenza sul mercato al momento del lancio del programma di affiliazione.
Domanda: Perché i gruppi di ransomware più ricercati non sono contrari alle interviste con blogger, giornalisti dei media e persino esperti di cybersec e di Threat Intelligence, i quali sono cacciatori del ransomware stesso? Perché alcuni hanno paura della pubblicità, mentre altri, al contrario, non si preoccupano di dichiararsi?
Risposta: Un’intervista nel formato concordato non viola la privacy. Nel nostro caso ci ritiriamo, pertanto al momento della pubblicazione dell’intervista tutte le prove sono già state distrutte.
Domanda: Quando i gruppi rilasciano interviste a giornalisti, blogger e specialisti della sicurezza informatica, viene verificata la loro affiliazione con i servizi segreti?
Risposta: non possiamo controllarli per l’affiliazione, così come loro non possono identificare le nostre identità. Il mondo è un grande teatro.
Domanda: Hai concesso la tua prima intervista pubblica all’ex hacker Dmitry Smilyants, che ora lavora per Recorded Future. Non è un segreto che Recorded Future è stato originariamente finanziato come startup da Google e dal fondo di venture capital In-Q-Tel, che è strettamente affiliato con la CIA. Secondo alcuni media occidentali, si scopre che gli hacker della CSI stanno rispondendo a domande preparate dagli analisti dell’intelligente statunitense per rendere più facile per loro condurre un’analisi comportamentale. Sembra pura follia da parte dei crittografi oppure no?
Risposta: A quel tempo, BlackMatter aveva bisogno di un’intervista ad alta voce per suscitare l’interesse di potenziali affiliati, il momento in cui i servizi di Intelligence avevano appreso del nuovo Program Partners non era così importante, era previsto.
Domanda: spiega cos’è il mimetismo: mascheramento del codice, aggiunta di costrutti di codice specifici, cos’altro?
Risposta: Tecnicamente, sembra una modifica del software utilizzato da un determinato gruppo. Il software può essere scaricato da virustotal, malwarebazar o altre risorse, quindi simulare il server di comando e sovrascrivere i suoi dati nella build.
Domanda: In un’intervista con Dmitry, hai detto di conoscere e di aver comunicato con il team di DarkSide. Secondo te, l’attacco al Colonial Pipeline è un attacco casuale, in cui gli hacker non hanno contato sulla pressione pubblica così forte, oppure si è trattato di un attacco pianificato? Vuoi commentare?
Risposta: L’obiettivo era fare soldi, non si partecipa ad un gioco geopolitico.
Domanda: recentemente, il codice sorgente di Babuk è trapelato in rete, e anche la storia con Conti, quando un membro scontento del “programma di affiliazione” ha pubblicato alcuni materiali di formazione in rete. In che modo tali eventi influenzano le altre fazioni?
Risposta: Assolutamente no, il codice sorgente di Babuk è di scarsa qualità, forse qualcuno lo userà.
Domanda: Dopo la storia con Colonial Pipeline, pensi che il numero totale di attacchi alle infrastrutture critiche diminuirà, poiché diventa sempre più pericoloso e difficile per i programmi partner lavorare con tale pressione e attenzione da parte del pubblico?
Risposta: Colonial Pipeline ha avviato un processo irreversibile durante il quale sono stati chiusi tutti i programmi di affiliazione.
Domanda: il RaaS agisce quasi sempre come “frontman”, negoziatore e servizio di pubbliche relazioni quanto dipende dai programmi partner in termini percentuali?
Risposta: Tutti i RaaS fanno affidamento sui partner in primo luogo, ma tutti i veri partner sono nell’ombra.
Domanda: Quanta parte del reddito avete perso quando si è deciso di escludere le infrastrutture critiche nazionali?
Risposta: fino al 20% delle aziende sono uscite fuori dal mirino di BlackMatter.
Domanda: L‘agricoltura è sempre più attaccata, ad esempio, il sistema di controllo per l’irrigazione del suolo è caduto nelle mani del ransomware crittografando le tabelle di applicazione dei fertilizzanti.
Tutto ciò incide sull’approvvigionamento alimentare della regione. Le imprese agricole rientrano come termine nella infrastruttura critica, secondo te?
Risposta: Non si adattano, le nostre parole non differiscono da quelle che abbiamo già scritto. Se prendiamo l’esempio la NEW Cooperative, ci sono centinaia di tali aziende negli Stati Uniti e non possiamo dire che se i sistemi sono temporaneamente non operativi, l’intera catena alimentare sarà interrotta. Un’altra cosa sono le raffinerie di petrolio, gli impianti di trattamento delle acque e altre strutture davvero critiche. BlackMatter non ha mai attaccato tali imprese.
Domanda: In un’intervista con LockBit, è stato affermato che uno dei migliori prodotti antivirus è Bitdefender. Quali antivirus pensi possano aiutare le aziende a proteggersi dai ransomware?
Risposta: Consigliamo alle aziende antivirus come Carbon Black, Cylance, Bit9. Il fatto che non ci sia BitDefender e LockBit non lo capisca, è un dato di fatto.
Domanda: il ransomware Android è un mito o una realtà dei worm?
Risposta: Potrebbe essere una realtà, ma è poco redditizio, quindi non lo sappiamo. Siamo sempre stati interessati alle reti aziendali
Domanda: le guardie di sicurezza senza il ransomware, trascorreranno finalmente dei fine settimana tranquilli?
Risposta: Siamo già diventati più tranquilli, dopo la nostra partenza ci saranno progetti poco professionali come LockBit. Ma questo è un fenomeno temporaneo, visti anche i recenti eventi geopolitici e il trasferimento di informazioni tra Stati Uniti e Russia.
Domanda: cosa è più importante del denaro?
Risposta: denaro, oltre alla libertà.
Domanda: Percorso o risultato?
Risposta: il percorso e poi il risultato. Tutto ha una multa.
Domanda: perché vi ritirate?
Risposta: il ritiro è associato a molti fattori negativi che presto argineranno la tendenza del Ransomware. Preferiamo partire ora e da soli piuttosto che goderci 20 anni in gabbia.
Pertanto, a tutti pace e bene, senza di noi questo mondo diventerà migliore 🙂
E salutiamo gli Stati Uniti, a volte i piani non si avverano e tutto non va come vuole la vostra nazione, vale la pena farci l’abitudine.
Fonte
RedazioneRedazione: redazione@redhotcyber.com
© Copyright RED HOT CYBER. PIVA 16821691009
