Intervista con BlackMatter: un nuovo gruppo di ransomware che sta imparando dagli errori di DarkSide e REvil
Di Dmitry Smiyanets
– L’intervista è stata condotta in russo e tradotta in inglese con l’aiuto di un traduttore professionista ed è stata modificata per chiarezza. –
“Nota dell’editore: a luglio, una nuova banda di ransomware ha iniziato a pubblicare annunci su vari forum di criminalità informatica annunciando che stava cercando di reclutare partner e affermando che combinava le caratteristiche di gruppi famigerati come REvil e DarkSide.
Chiamata BlackMatter , la banda ha affermato di essere specificamente interessata a prendere di mira grandi aziende con un fatturato annuo di oltre 100 milioni di dollari. Tuttavia, il gruppo ha affermato che alcuni settori sono vietati: non estorcerà assistenza sanitaria, infrastrutture critiche, petrolio e gas, difesa, organizzazioni no-profit e governative.
Un rappresentante del gruppo ha concesso di recente un’intervista a Dmitry Smiyanets, esperto di intelligence sulle minacce di Recorded Future, di come BlackMatter stia imparando dagli errori di altri gruppi di ransomware, cosa cercano quando reclutano partner e perché evitano determinati obiettivi. L’intervista è stata condotta in russo e tradotta in inglese con l’aiuto di un traduttore professionista ed è stata modificata per chiarezza.
Dmitry Smiyanets: Il tuo prodotto è apparso abbastanza di recente e, per quanto ne sappiamo, non ci sono stati ancora attacchi pubblici utilizzando BlackMatter. Quanto tempo fa hai iniziato a svilupparlo?
BlackMatter: Non ci sono stati ancora attacchi, a giudicare dal blog pubblico. In effetti, ci sono stati, e le aziende che abbiamo attaccato stanno già comunicando con noi. Finché le trattative vanno a buon fine non pubblichiamo un post sul blog nella pagina principale del blog.
Il prodotto è stato in fase di sviluppo negli ultimi sei mesi. Forse sembra semplice (a giudicare dal blog o dalla pagina di comunicazione), ma non lo è: ciò che gli utenti vedono pubblicamente è la punta dell’iceberg.
Prima di iniziare il progetto, abbiamo studiato nel dettaglio i seguenti prodotti:
- LockBit ha una buona base di codice, ma un pannello striminzito e non funzionale (all’epoca usavamo il loro prodotto). Se la paragoni a un’auto, puoi dire che si tratta di una linea di produzione automobilistica giapponese con buoni motori ma interni vuoti e non funzionanti. Puoi guidarne uno, ma con poco piacere.
- REvil è un buon progetto nel complesso, software testato nel tempo (da GandCrab, non hanno apportato modifiche significative da allora), un pannello abbastanza funzionale, ma focalizzato maggiormente sul numero complessivo di “caricamenti” di successo rispetto a crittografia mirata specifica.
- Darkside è un software relativamente nuovo con una buona base di codice (in parte problematica, ma le idee stesse meritano di essere notate) e una web part interessante rispetto ad altri RaaS.
L’eseguibile stesso ha incorporato le idee di LockBit, REvil e in parte di DarkSide. La web part ha recepito l’approccio tecnico di DarkSide poiché lo consideriamo il più strutturalmente corretto (aziende separate per ogni target, e così via).
IMMAGINE: IL RECORDDS: Quanto è difficile organizzare un programma di affiliazione (noto anche come ransomware-as-a-service)?
BM: Nel complesso, meno difficile che no. Il livello è importante, RaaS può anche essere offline (quando le build vengono emesse tramite jabber/tox), ma non c’è richiesta di mercato per questo e gli attuali clienti, dopo aver usato REvil e DarkSide, non sono pronti a prendere sul serio tali programmi di affiliazione. Abbiamo ideato un progetto e lo abbiamo portato sul mercato esattamente nel momento in cui la nicchia è vacante e il progetto soddisfa pienamente le richieste del mercato, quindi il suo successo è inevitabile.
DS: Più di recente, i gruppi più grandi—DarkSide, REvil, Avaddon, BABUK—sono scomparsi dalle scene. Molti ricercatori ritengono che ciò sia dovuto all’attenzione dei massimi vertici degli Stati Uniti e della Russia sulla situazione degli attacchi ransomware. È vero? Pensi che il tuo prodotto avrà la stessa sorte?
BM: Sì, crediamo che in larga misura la loro uscita dal mercato sia stata associata alla situazione geopolitica sulla scena mondiale. Prima di tutto, questa è la paura degli Stati Uniti e la loro pianificazione di operazioni cyber offensive, nonché un gruppo di lavoro bilaterale sull’estorsione informatica. Stiamo monitorando la situazione politica, oltre a ricevere informazioni da altre fonti. Durante la progettazione della nostra infrastruttura, abbiamo preso in considerazione tutti questi fattori e possiamo dire di poter resistere alle capacità cyber offensive degli Stati Uniti. Per quanto? Il tempo lo dirà. Per ora, ci concentriamo sul lavoro a lungo termine. Moderiamo anche gli obiettivi e non consentiamo che il nostro progetto venga utilizzato per crittografare l’infrastruttura critica, che attirerà su di noi l’attenzione indesiderata.
DS: Hai detto che il tuo prodotto riunisce il meglio di DarkSide, REvil e LockBit. Quali sono i loro punti di forza?
BM: Il nostro progetto ha incorporato i punti di forza di ciascuno dei programmi partner:
- Da REvil—SafeMode, la loro implementazione era debole e non ben congegnata, abbiamo sviluppato l’idea e l’abbiamo implementata completamente. Abbiamo anche implementato la versione PowerShell della variante ransomware data l’implementazione di REvil.
- Da LockBit, un approccio all’implementazione della base di codice, abbiamo preso alcune cose da lì, per lo più piccole cose.
- Da DarkSide, prima di tutto, questa è l’idea di impersonation (la capacità dell’encryptor di utilizzare l’account dell’amministratore del dominio per crittografare le unità condivise con i massimi diritti), abbiamo anche preso in prestito la struttura del pannello di amministrazione da lì.
DS: Sulla base degli ultimi rapporti pubblicati questa settimana, BlackMatter è visivamente molto simile a DarkSide. Puoi confermare che la tua infrastruttura è basata su DarkSide?
BM: Possiamo dire con sicurezza che siamo fan della modalità oscura nel design, abbiamo familiarità con il team di DarkSide per aver lavorato insieme in passato, ma non siamo loro, anche se siamo intimi con le loro idee.
DS: LockBit 2.0 è considerato il locker più veloce al momento. Qual è la velocità di crittografia/decrittografia della tua variante?
BM: Questo non è vero. Dopo aver letto la domanda – abbiamo deciso di prepararci scaricando l’ultima versione pubblicamente disponibile di LockBit (fine 06.21) e conducendo dei test, possiamo affermare quanto segue:
- Materia nera: 2.22
- Bit di blocco: 02.59
Le prove sono state eseguite nelle stesse condizioni. Inoltre, LockBit crittografa i primi 256 kb del file (il che è piuttosto negativo dal punto di vista della forza crittografica). Noi, invece, crittografiamo 1 MB. In sostanza, questo è il segreto della loro velocità.
DS: Hai intenzione di aggiungere nuove funzionalità al prodotto, seguendo l’esempio di StealBit?
BM: Sì, il software viene costantemente migliorato, in termini di nuove funzioni che appariranno nel prossimo futuro, stampa del testo della nota su tutte le stampanti disponibili. Osserviamo anche i nostri concorrenti e implementiamo sempre ciò che riteniamo promettente e richiesto dai nostri clienti.
DS: Ho già visto diversi annunci di reclutamento per la tua squadra. Quanti tester di penetrazione vorresti reclutare? È più facile lavorare con un team piccolo ma forte o con un esercito di script kiddies?
BM: Ci rivolgiamo a team forti e autosufficienti con esperienza, soluzioni tecniche proprie e un reale desiderio di fare soldi, non qualcuno che vuole provare l’attività. Di solito filtriamo gli script kiddy prima che abbiano accesso al nostro pannello di amministrazione.
DS: Ovviamente ci sono molti professionisti di talento nella tua squadra. Perché questo talento è finalizzato ad attività distruttive? Hai provato il penetration test legale?
BM: Non neghiamo che il business sia distruttivo, ma se guardiamo più a fondo, come risultato di questi problemi vengono sviluppate e create nuove tecnologie. Se tutto andasse bene ovunque non ci sarebbe spazio per nuovi sviluppi.
C’è una vita e prendiamo tutto da essa, la nostra attività non danneggia le persone e si rivolge solo alle aziende, e l’azienda ha sempre la capacità di pagare fondi e ripristinare tutti i suoi dati.
Non siamo stati coinvolti in penetration test legali e crediamo che questo non possa portare la giusta ricompensa materiale.
DS: Cosa ne pensi degli attacchi effettuati contro l’infrastruttura di Colonial Pipeline o JBS? Ha senso attaccare reti così grandi?
BM: Pensiamo che questo sia stato un fattore chiave per la chiusura di REvil e DarkSide, abbiamo vietato quel tipo di targeting e pensiamo non abbia senso attaccarli.
DS: Il Dipartimento di Giustizia degli Stati Uniti ha affermato di essere stato in grado di recuperare alcuni dei bitcoin pagati da Colonial. Come pensi che sia successo?
BM: Pensiamo che il team di DarkSide o i suoi partner abbiano trasferito bitcoin su portafogli web, il che ha portato al sequestro delle chiavi private.
DS: Stai acquistando attivamente l’accesso alle reti e dichiari di NON essere interessato a istituzioni governative e mediche. Allo stesso tempo, hai affermato che non crittograferai una gamma più ampia di settori, tra cui infrastrutture critiche, difesa, no-profit e petrolio. Chi ha l’ultima parola per crittografare la rete o no?
BM: L’ultima parola è nostra. Controlliamo ogni obiettivo e decidiamo se ha potenziali conseguenze negative per noi. La discrepanza tra le industrie nel blog e sul forum è legata al marketing. Nella corrispondenza personale escludiamo quelli che non ci interessano.
DS: Secondo te, quale tipo di accesso alla rete primaria sarà il più semplice nel 2021?
BM: Non lavoriamo con VPN e altri tipi di accesso iniziale che richiedono molto tempo, ma ci concentriamo sull’ottenere immediatamente l’accesso diretto alla rete.
DS: Che cosa ha più effetto nel motivare l’azienda a pagare: l’indisponibilità dell’infrastruttura o il timore di una fuga di dati?
BM: Varia da azienda ad azienda. Per alcuni è importante mantenere la riservatezza, per altri è ripristinare l’infrastruttura. Se la rete è completamente crittografata e c’è anche il rischio che i dati vengano pubblicati, molto probabilmente l’azienda pagherà.
DS: Unknown ha parlato di una prospettiva speciale nei confronti delle compagnie assicurative. Pensi che se le compagnie assicurative smettano improvvisamente di coprire gli incidenti ransomware, cambierà il tuo interesse per il ransomware?
BM: Non cambierà, le aziende continueranno a pagare a prescindere. È possibile che l’importo pagato diminuisca.
Ora le spese assicurative sono aumentate, ma temendo di essere lasciati soli nella situazione tutti continueranno ad acquistare l’assicurazione.
DS: Cos’è successo con Unknown? Ci sono molte voci, puoi chiarire la situazione?
BM: Non lo sappiamo. Molto probabilmente, dopo l’ultimo pagamento, è andato in vacanza o sta preparando un rebranding del loro progetto.
DS: Dimmi un segreto.
BM: Non ci sono segreti, ma crediamo nella nostra patria, amiamo le nostre famiglie e guadagniamo soldi per i nostri figli.
