BlackMatter勒索軟體攻擊了日本的跨國企業 Olympus

日本Olympus在一份聲明中表示,正在調查上週影響其部分 EMEA(歐洲、中東、非洲)IT系統的網路安全事件,Olympus在全球擁有 31,000 多名員工,是一家跨國公司,專門銷售攝影設備、錄音設備和一系列科學和醫療技術,如超聲波和顯微鏡工具等。

據知情人士透露,Olympus在 9 月 8 日凌晨開始,發現了被感染的電腦上留下來自 BlackMatter 勒索軟體組織的勒索信。信中寫道:“您的網路已加密,目前無法運行,如果您付費,我們將為您提供解密程式。” 勒索信上還包括一個通過 Tor 瀏覽器訪問的網站的網址,根據資安公司Emsisoft的威脅分析師 Brett Callow,勒索信中的網站與 BlackMatter 組織有關,已知的是BlackMatter 使用該瀏覽器與受害者進行通訊。

BlackMatter 是一個相對較新的勒索軟體即服務(Ransomware as a Service; RaaS)組織,於 2021 年 7 月底浮出水面,被認為是 DarkSide 勒索軟體的更名(Rebrand)提供租用基礎設施(包含勒索軟體)的存取權限給其會員。根據研究人員在BlackMatter的一些攻擊後收集到的樣本,隨後得以證實 BlackMatter 勒索軟體的加密程式與 DarkSide 使用的自訂的程式相同。

BlackMatter的勒索信樣本

自BlackMatter出現以來,資安公司Emsisoft 已記錄了 40 多起歸因於 BlackMatter 的勒索軟體攻擊,相信實際的數字可能更多。BlackMatter 勒索軟體組織的操作與其他勒索軟體無異,通常會先從受害公司網路中竊取數據,再對其進行加密,如果受害公司不付贖金或談判破裂,就會威脅在暗網上發佈從受害公司盜來的數據和檔案。但目前在BlackMatter的揭秘網站上仍未看到有關Olympus 的頁面。

有關BlackMatter勒索軟體的入侵指標(Indicator of compromise -IOCs):

IPv4:

51.79.243.236

206.188.197.206

Domain:

paymenthacks.com

SHA 1:

379ebd1eff6f8685f4ff72657626bf6df5383d87

72ed32b0e8692c7caa25d61e1828cdb48c4fe361

10d6d3c957facf06098771bf409b9593eea58c75

MD5:

ba375d0625001102fc1f2ccb6f582d91

a55bc3368a10ca5a92c1c9ecae97ced9

3f9a28e8c057e7ea7ccf15a4db81f362

SHA 256:

6a7b7147fea63d77368c73cef205eb75d16ef209a246b05698358a28fd16e502

e48c87a1bb47f60080320167d73f30ca3e6e9964c04ce294c20a451ec1dff425

2c323453e959257c7aa86dc180bb3aaaa5c5ec06fa4e72b632d9e4b817052009

在REvil和Darkside消聲匿跡後,BlackMatter勒索軟體來接班

Key Points:

*BlackMatter聲稱結合了Darkside、REvil和LockBit勒索軟體的最佳功能

*攻擊目標為收入超過 1 億美元或以上的公司

*願意支付高達十萬美元購買大型企業的網路存取權

*BlackMatter表示不會攻擊醫院、關鍵基礎設施、非營利組織和政府組織

在本周才開始運作的BlackMatter,其揭秘網站目前仍是空的,尚無受害者

在DarkSide 和 REvil消失後,又一個新的勒索軟體出現了,名為BlackMatter的勒索軟體的誕生是由 Recorded Future 的研究人員發現,BlackMatter將自己宣傳為DarkSide和REvil的精神延續,雖稱其唯一的興趣是錢,但聲稱不會攻擊屬於以下六個行業:

* 醫院

* 關鍵基礎設施(核電站、發電廠、水處理設施)

* 石油和天然氣工業(管道、煉油廠)

* 國防工業

* 非營利公司

* 政府部門

並承諾如果這些行業的任何公司受到他們的攻擊,將免費向受害實體提供解密工具。

據報導,BlackMatter的背後駭客已在兩個俄羅斯駭客論壇Exploit 和 XSS上發布招募會員的廣告。儘管自5月以來兩個論壇上都禁止了勒索軟體的廣告,但 BlackMatter並未直接以勒索軟體即服務(RaaS)做廣告,而是發布了招募Initial access broker的駭客服務廣告,Initial access broker用於描述擁有被駭企業網路存取權的人,BlackMatter 提供 3,000 至 100,000 美元的價格買企業的網路存取權。一旦獲得此類網路存取權限,BlackMatter將接管目標的內部系統以運作其檔案加密的payload。

BlackMatter招募initial access broker的廣告

根據廣告,BlackMatter想與可以提供企業網路入侵初期(Initial Access)存取權的經紀人(broker)合作,條件是目標企業的年收入須為 1 億美元或以上,目標網路須有 500 到 15,000 台主機,並且位於美國、英國、加拿大或澳洲。

據報導BlackMatter的背後駭客吹噓他們能夠加密不同的操作系統版本和架構。這包括 Windows 系統(via SafeMode)、Linux(Ubuntu、Debian、CentOS)、VMWare ESXi 5+ 虛擬端點、NAS設備(如 Synology、OpenMediaVault、FreeNAS 和 TrueNAS)等。根據Recorded Future的研究人員觀察到的證據,認為 BlackMatter 與 Darkside 之間存在關聯,但BlackMatter是否也與REvil有的關聯,仍需要更多的時間去調查和研究。