BlackMatter: RaaS-вымогатель, бьющий по уязвимой инфраструктуре

Новая глава в эволюции вымогателей: как платформа BlackMatter переосмыслила киберугрозу

Летом 2021 года ландшафт киберугроз пополнился новой мощной силой — программой-вымогателем BlackMatter. Построенная по модели ransomware-as-a-service (RaaS), она ознаменовала собой эру, в которой создатели вредоносного ПО извлекают колоссальную прибыль, дистанцируясь от непосредственных атак. Вся грязная работа ложится на плечи партнерской сети, известной как BlackMatter actors, а сама группировка, по мнению многих экспертов, является прямым наследником печально известной операции DarkSide.

Анализ активности BlackMatter раскрывает тревожную тенденцию: злоумышленники сознательно нацелились на инфраструктуру Соединенных Штатов, демонстрируя готовность наносить удары по самому широкому спектру жертв с финансовыми запросами, колеблющимися от $80 000 до $15 миллионов. Расчет при этом ведется исключительно в криптовалютах, гарантирующих анонимность транзакций, — Bitcoin и Monero.

Эволюция тактики: ставка на инфраструктуру, а не на пользователя

Ключевое отличие BlackMatter от многих современников кроется в стратегии первоначального доступа. Если традиционные кампании часто полагаются на массированный фишинг и вредоносные вложения, операторы этого вымогателя сместили фокус на эксплуатацию уязвимостей периферийных устройств.

  • Основной вектор атак: уязвимые протоколы удаленного рабочего стола, устройства VPN и решения для виртуализации.
  • Привилегированная цель: уязвимости в протоколах LDAP и SMB, позволяющие стремительно расширять присутствие в скомпрометированной сети.
  • Ключевой инструментарий: активное использование Cobalt Strike и другого коммерческого программного обеспечения (COTS) для последующего управления атакой.

Ставка делается на применение уже скомпрометированных корпоративных учетных данных, добытых из различных источников. Хотя фишинговые письма и упоминаются как один из методов распространения, в ходе расследований конкретные примеры целевого фишинга (spear phishing) или вредоносных документов пока не заняли центральное место в тактическом арсенале BlackMatter. Это говорит о зрелости группировки, предпочитающей менее шумные и более эффективные инженерные подходы к взлому периметра.

Двойной шантаж и коммуникация в даркнете

После успешного проникновения и выполнения набора тактик, техник и процедур (TTPs) жертва сталкивается с отлаженным механизмом вымогательства. BlackMatter применяет тактику двойного шантажа: данные не только шифруются, парализуя операционную деятельность, но и предварительно похищаются. Записка с требованием выкупа недвусмысленно информирует о факте кражи и содержит единственную инструкцию для выхода на связь — использовать браузер TOR для доступа к закрытому переговорному сайту в темной сети.

Сектора под прицелом: от критической инфраструктуры до малого бизнеса

Размах атак BlackMatter поражает своей неизбирательностью и одновременно пугающей эффективностью. Под ударом оказываются организации, составляющие основу современного общества и экономики.

  • Здравоохранение
  • Телекоммуникации
  • Банковский сектор и финансы
  • Образование
  • Государственные учреждения

Главная особенность угрозы — ее масштабируемость. Жертвами становятся не только крупные корпорации с миллионными страховками, но и малые предприятия, обладающие куда менее зрелой системой защиты. Такая широта охвата подчеркивает критическую уязвимость целых отраслей и настоятельную необходимость внедрения надежных мер кибербезопасности на всех уровнях, независимо от размера и сферы деятельности организации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: