Bir decryptörde bulunan şifreleme algoritmaları, ünlü Darkside Ransomware çetesinin yeni bir Blackmatter Ransomware operasyonu olarak yeniden markalandığını ve kurumsal kuruluşlara aktif olarak atak yaptığını göstermektedir.
Sömürge boru hattına bir saldırı yaptıktan sonra, ABD'nin en büyük yakıt boru hattının ve ABD'nin güneydoğusundaki yakıt kıtlığına neden olan Darkside Ransomware Grubu, uluslararası kolluk kuvvetleri ve ABD hükümeti tarafından incelenmiştir.
Mayıs ayında, darkside fidye yazılımı operasyonu, sunucularına erişim kaybettikten sonra aniden kapandı ve kriptokrokürans bilinmeyen bir üçüncü taraf tarafından ele geçirildi.
Daha sonra FBI'nin, sömürge boru hattının yaptığı yaklaşık 75 bitcoin (4 milyon dolar) fidye ödemesinin 63.7 Bitcoin'i kurtardığını öğrendi.
Bu hafta, Blackmatter olarak bilinen yeni bir fidye yazılımı operasyonu, aktif olarak mağdurlara saldıran ve diğer tehdit aktörlerinden yeni saldırılara başlamak için ağ erişimini satın alarak ortaya çıktı.
BleepingComputer, Blackmatter tarafından Ransom Talepleri ile 3 ila 4 milyon dolar arasında değişen birden fazla mağdurun farkında. Bir kurban, çalınan verileri silmek ve hem Windows hem de Linux ESXI decryptor almak için bu hafta beş milyon dolarlık bir fidye ödedi.
Yeni Ransomware grubunu araştırırken, BleepingComputer, Blackmatter kurbanından bir şifreleme buldu ve onu Emisosft CTO ve Ransomware Expert Fabian Wosar ile paylaştı.
Declhryptor'u analiz ettikten sonra Wosar, yeni Blackmatter grubunun, karenin saldırılarında kullandıkları aynı benzersiz şifreleme yöntemlerini kullandığını doğruladı.
Sızdıran bir Blackmatter şifreleme ikili içine baktıktan sonra, burada bir karanlık rebrand ile uğraştığımıza ikna oldum. Crypto rutinleri, özel bir matris kullanımı da dahil olmak üzere hem RSA hem de Salsa20 uygulamaları için hemen hemen kesin bir kopya.
Wosar, BleepingComputer'a, Blackmatter tarafından kullanılan şifreleme rutinlerinin, darkside özel bir SALSA20 matrisi de dahil olmak üzere hemen hemen aynı olduğunu söyledi.
Verileri Salsa20 Şifreleme Algoritması'nı kullanarak şifreleme yaparken, bir geliştirici on altı 32 bitlik kelimeden oluşan bir başlangıç matrisi sağlar.
Dosyaları şifrelerken, Fabian, BleepingComputer'a, her şifreli bir dosya için sabit dizeler, bir pozisyon, olmayan ve anahtar kullanmak yerine, darkside kelimeleri rastgele veri ile doldurur.
Bu matris daha sonra bir ortak RSA tuşuyla şifrelenir ve şifreli dosyanın altbilgisinde saklanır.
Fabian, bu Salsa20 uygulamasının daha önce yalnızca Darkside tarafından kullanıldığını ve şimdi Blackmatter'ın kullanıldığını söylüyor.
BleepingComputer, Darksenin, Blackmatter'ın da kullandığı, şifrelemelerine özgü bir RSA-1024 uygulamasını kullandığı söylendi.
% 100 kanıt olmasa da, Blackmatter'ın darksit operasyonunun bir rebrand olduğunu, birçok benzer özellik, bunun böyle olmadığına inanması zorlaştırır.
Aynı şifreleme algoritmalarını aldığımızda, Blackmatter sitelerinde, medyanın dikkatini çeken benzer dil ve Tor siteleri için benzeri renk temaları, çatlakların yeni darkside olduğu gibi oldukça fazla.
Darkside'dan bir rebrand da, yeni Blackmatter grubunun "petrol ve gaz endüstrisini (boru hatları, petrol rafinerileri)", önceki çöküşüne yol açan "petrol ve gaz endüstrisini (petrol ve gaz endüstrisini (") hedeflememesini açıklar.
Ne yazık ki, bu, Windows, Linux ve ESXI sunucuları da dahil olmak üzere birden fazla cihaz mimarisini hedefleyen çok yetenekli bir gruptur.
Bundan dolayı, gelecekte tanınmış hedeflere saldırılar yapacakları için bu yeni gruba göz atmamız gerekecek.
Blackmatter Ransomware çetesi, darksenin küllerinden yükselir, tekrar
ABD Colonial Boru Hattı'nın 4,4m Ransomware ödemesinin çoğunu kurtarıyor
Moda Perakendeci Tahmin, Ransomware saldırısından sonra veri ihlalini açıklar.
ABD Kimyasal Distribütör Darkside Ransomware Veri Hırsızlığı hakkında bilgi paylaşıyor
Sahte Darkside Gang Hedefler Enerji, Gıda Endüstrisi Yasaklama E-postaları
Kaynak: Bleeping Computer