Il ransomware BlackMatter

Comparso per la prima volta nel luglio 2021, BlackMatter è un tool di Ransomware-as-a-Service (RaaS) che consente agli sviluppatori del ransomware di trarre profitto da affiliati di criminali informatici (cioè attori di BlackMatter) che lo distribuiscono verso le vittime.

BlackMatter è un possibile rebrand di DarkSide, un RaaS attivo da settembre 2020 a maggio 2021.

Gli attori di BlackMatter hanno attaccato numerose organizzazioni con sede negli Stati Uniti e hanno chiesto pagamenti di riscatto che vanno da $80.000 a $15.000.000 in Bitcoin e Monero.

 

Cos’è BlackMatter?

BlackMatter è una nuova minaccia ransomware scoperta alla fine di luglio 2021.

Questo malware è iniziato con una importante sequela di attacchi e alcune pubblicità dei suoi sviluppatori che affermavano di prendere le parti migliori di altri malware, come GandCrab, LockBit e DarkSide, nonostante si riconoscessero come un nuovo gruppo di sviluppatori.

L’obiettivo principale di BlackMatter è crittografare i file nel computer infetto e richiedere un riscatto per decriptarli.

Come con i precedenti ransomware, gli operatori rubano file e informazioni private dai server compromessi e richiedono un riscatto aggiuntivo per non pubblicarli su Internet.

 

Perché avere paura BlackMatter?

Gli organismi di sicurezza federali degli Stati Uniti hanno pubblicato un avviso congiunto rivolto agli esperti di sicurezza informatica, avvertendo dell’inevitabilità di una serie di nuovi attacchi ransomware da parte del gruppo di hacker BlackMatter.

La Cybersecurity and Infrastructure Security Agency (CISA), il Federal Bureau of Investigation (FBI) e la National Security Agency (NSA) sono le tre agenzie coinvolte in questa consulenza congiunta, che segue mesi di scrutinio e indagini sul gruppo di hacker. 

Le agenzie considerano i segnali di attività imminenti abbastanza forti da aver sentito il bisogno di raccomandare alle aziende di rafforzare le loro difese di sicurezza informatica, in particolare quelle legate alle credenziali degli utenti, alla sicurezza delle password e all’autenticazione a più fattori (MFA).

BlackMatter è il risultato di un raggruppamento di membri precedentemente coinvolti con DarkSide, il famigerato team di hacker che ha chiuso le operazioni nel maggio di quest’anno. 

BlackMatter, come il gruppo di hacker Desorden (che ha recentemente preso di mira Acer), sembra favorire gli attacchi alle aziende più importanti nelle catene di approvvigionamento, intensificando le ripercussioni e il caos attraverso più endpoint. 

Da quando ha iniziato a operare con il nuovo nome, BlackMatter ha già attaccato numerose organizzazioni di infrastrutture critiche statunitensi, tra cui due cooperative del settore alimentare e agricolo, nonché società private come Olympus.

 

Particolarità dell’attacco di BlackMatter

Distribuendo un campione del ransomware di BlackMatter in un ambiente investigativo sicuro, le agenzie sottolineano la raffinatezza del suo approccio, che consente di attaccare sia gli ambienti Windows e Linux, nonché le macchine virtuali basate su ESXi, coprendo efficacemente tutti i sistemi di sicurezza. 

Questa evidenza mette in luce anche l’approccio distruttivo adottato da BlackMatter per garantire il massimo impatto del proprio ransomware: piuttosto che crittografare i sistemi di backup, BlackMatter cancella o riformatta tutti i dispositivi.

 

Come proteggersi

I suggerimenti per mitigare le vulnerabilità includono la segmentazione delle reti (invece dell’approccio di rete centralizzato che è stato storicamente favorito per facilità d’uso e capacità di controllo), nonché l’uso di strumenti di monitoraggio della rete in modo da identificare la presenza del ransomware. 

Le agenzie summenzionate hanno inoltre fornito firme di rilevamento per BlackMatter in modo che gli specialisti della sicurezza informatica possano indagare preventivamente sui sistemi gestiti.