三正科技（山东）有限公司

新闻动态公司动态行业动态

当前位置：首页新闻动态行业动态

跑路的黑客首富这么快就换马甲复出了？ BlackMatter勒索团伙登场

发布时间: 2021-08-03 浏览次数:

今天

本期关键词

#网络安全 #勒索软件 #REvil Blackmatter

安全公司Recorded Future7月27日发布消息称，

刚发现一个新的勒索软件团伙BlackMatter，

认为它是REvil和DarkSide团伙的继任者。

纳尼？臭名昭著的黑客首富REvil，

犯下卡西亚海啸级勒索软件惊天大案，

7月中旬刚在美俄政府压力下自行关停，

这么快就换马甲复出了？这才避了几天风头啊？

再往下看，BlackMatter团伙自称

“包含了DarkSide、REvil和LockBit的最佳功能”

这句自我介绍很短……但是重磅的很呐！

- 补充一下 -

DarkSide、REvil和LockBit都是什么来头？

Part.1

REvil

于2019年出现于勒索江湖，是一家总部位于俄罗斯的网络犯罪集团，是所有勒索软件团伙中最多产、最复杂的团伙之一，据称也是最富有的黑客组织，以其非常猖獗的攻击成为勒索团伙中的佼佼者。根据Recorded Future公司的数据，REvil占已知勒索软件受害者的42%。也就是说，REvil是仅靠一己之力，就独占了勒索江湖几乎“半壁江山”的头号人物。在刚过去的7月份，REvil发起有史以来最严重的勒索软件海啸级攻击——卡西亚（Kaseya）攻击事件，索要7000万美元天价赎金，至少17个国家的数千家组织受到影响。枪打出头鸟，犯下惊天大案的REvil，在美俄政府压力下于7月中旬自行关停。

Part.2

DarkSide

于2020年8月出现，其背后的运营者及其附属机构曾发起过全球性的犯罪狂潮。外界普遍认为该组织发源于俄罗斯。DarkSide的所有者很可能曾经是REvil的会员。2021年5月初，DarkSide“一战成名”，攻击了全美最大燃油管道商科洛尼尔（Colonial Pipeline）公司，导致美国17个州进入紧急状态，成为近年来勒索软件团伙引发的一起最严重的威胁到社会公共服务的安全事件，并获取440万美元赎金。但之后大部分赎金被美国司法部追回。5月中旬，DarkSide受到执法机构压力关闭。

Part.3

LockBit

是被称为“加密病毒”的勒索软件的一个子类，因为它构造了与财务付款有关的勒索请求以换取解密。使用LockBit的攻击最初始于 2019年9月，过去的主要目标包括美国、中国、印度、印度尼西亚、乌克兰的公司；欧洲各地的许多国家和地区也遭受了攻击。

Emmmm……看完三家大帮派的简历，就明白

BlackMatter这句简短的自我介绍有多狠了。

江湖传言这三家帮派本来就都有俄罗斯背景，

彼此间有着千丝万缕的联系，

现在部分骨干复出合并成一个新组织

也是有可能的。当时REvil关停时就有猜测

它只是迫于压力暂避风头，将来也许

会换个马甲重出江湖。但这也太快了吧！

我们再来看一看这个自称包含了三家帮派“最佳功能”的新型BlackMatter勒索病毒。它适用于多种不同的操作系统版本和架构，并以多种格式提供，包括支持安全模式的Windows变种(EXE/反射DLL/PowerShell)和支持NAS平台的各种Linux变种，同时Windows版本的勒索病毒变种已经在Windows Server2003+ x64/x86和Windows 7+ x64/x86上成功测试，Linux版本的勒索病毒变种已经在ESXI 5+、Ubuntu、Debian和CentOS上成功测试，Linux支持的文件系统包括VMFS、VFFS、NFS、VSAN。

根据BlackMatter团伙的博客（见下图），他们声称不会对以下行业下手：医疗保健、关键基础设施（核电站、发电厂、水处理设施）、石油和天然气（管道、炼油厂）、国防、非营利组织和政府。这跟Darkside的风格倒有几分相似。DarkSide与一般黑客组织不同的是，一直致力于展现自己“善良”的一面，甚至还公示了“道德准则”，“只攻击那些能够支付所需金额的公司”，不会攻击学校、医院、政府机构和非营利组织，以及有前苏联背景的公司。DarkSide还标榜自己是“罗宾汉”，经常拿出网络勒索所获利益进行慈善捐赠。