BlackMatter – новое название группировки DarkSide?

[Artifact]

Как показал анализ используемого BlackMatter декриптора для зашифрованных фалов, у нее слишком много общего с DarkSide.

Криптографические алгоритмы, используемые в инструменте для дешифровки файлов, зашифрованных недавно появившейся кибервымогательской группировкой BlackMatter, указывают на то, что BlackMatter – это та же нашумевшая киберпреступная группировка DarkSide, но с другим названием.
После громкой кибератаки на крупнейшего в США оператора трубопровода Colonial Pipeline, приведшей к дефициту бензина на всем юго-восточном побережье страны, правоохранительные органы по всему миру, и в особенности американские, начали настоящую охоту на DarkSide. В мае нынешнего года группировка внезапно лишилась доступа к своим серверам и криптовалютным активам, которые оказались захвачены неизвестными, и была вынуждена завить о прекращении своих операций. Как стало известно позднее, ФБР удалось отобрать у DarkSide 63,7 биткойна из 75, заплаченных Colonial Pipeline вымогателям за восстановление файлов.
На этой неделе на кибервымогательскую арену вышла новая группировка под названием BlackMatter, заявившая на хакерских форумах о том, что готова заплатить до $100 тыс. за доступ к корпоративным сетям крупных компаний. При этом ее интересуют только компании с годовым доходом $100 млн и больше.
Как сообщает BleepingComputer, у BlackMatter есть уже как минимум одна жертва, заплатившая выкуп в размере $4 млн за декрипторы для своих Windows- и Linux ESXi-устройств. Порталу удалось получить этот декриптор, который он передал ИБ-эксперту Фабиану Восару (Fabian Wosar) для анализа.
По словам Восара, BlackMatter использует тот же уникальный метод шифрования, что и DarkSide. Сам процесс шифрования данных (в частности, использование эксклюзивной для DarkSide матрицы Salsa20) BlackMatter практически идентичен DarkSide.
В процессе шифрования данных с использованием криптографического алгоритма Salsa20 разработчик предоставляет первоначальную матрицу из шестнадцати 32-битных слов. Как пояснил Восар, вместо постоянных строк, положения, одноразового случайного числа и ключа для каждого файла DarkSide заполняет каждое слово случайными данными. Эта матрица затем шифруется с помощью открытого RSA-ключа и сохраняется в колонтитуле зашифрованного файла.
По словам Восара, матрица Salsa20 ранее использовалась исключительно группировкой DarkSide. Кроме того, DarkSide использовала реализацию RSA-1024, уникальную для ее декриптора. Теперь Salsa20 и реализация RSA-1024 используются группировкой BlackMatter.
Безусловно, стопроцентных доказательств того, что BlackMatter – это новое название все той же DarkSide, нет, однако в операциях обеих группировок есть очень много общего. Такой же язык, используемый на сайтах, такое же стремление к вниманию СМИ и похожие цветовые темы для сайтов TOR – все указывает на то, что BlackMatter представляет собой ребрендинг DarkSide.
Еще один факт, свидетельствующий в пользу того, что BlackMatter и DarkSide – это одна и та же группировка, – публичное заявление об отказе атаковать «нефтегазовую промышленность (топливопроводы и нефтеперерабатывающие заводы)». Ведь именно атака на топливопровод привела к закрытию операций DarkSide.