Новый игрок на кибервымогательской арене, группировка BlackMatter дала свое первое большое интервью СМИ.

После того, как в прошлом месяце печально известная кибервымогательская группировка DarkSide свернула свои операции, появилась новая группировка BlackMatter, заявившая что является приемником DarkSide и REvil. Группировка опубликовала на хакерских форумах объявления о поиске партнеров и готовности заплатить $100 тыс. за доступ ко взломанным сетям компаний, чей готовой доход составляет не менее $100 млн. Теперь же BlackMatter дала первое интервью, в котором рассказала о своем вымогательском ПО и планах на будущее. Беседа с аналитиком ИБ-компании Recorded Future Дмитрием Смелянцом велась на русском языке.

По словам представителя BlackMatter, группировка работала над созданием одноименного вымогательского ПО в течение шести месяцев. Перед тем, как приступить к разработке проекта, она подробно изучила вымогательские программы LockBit, REvil и DarkSide и взяла от них самое лучшее.

В LockBit разработчики оценили хорошую кодовую базу, но остались недовольны неудобной панелью.

«Если сравнивать с автомобилем, то это как японская машина с хорошим двигателем, но пустым и нефункциональным салоном. Ездить можно, но удовольствия мало», – сообщил представитель BlackMatter.

Вымогательская программа REvil хороша во всем – проверенное временем ПО, которое мало изменилось со времен GandCrab, и функциональная панель. Однако в ней «больше внимания уделялось общему количеству успешных «загрузок», а не конкретной целевой криптографии».

В DarkSide разработчикам приглянулась хорошая кодовая база со стоящими внимания новыми идеями и «более интересной web-частью, чем у других RaaS».

Как пояснил собеседник Смелянца, исполняемая часть вымогательского ПО BlackMatter основывается на идеях LockBit, REvil и частично DarkSide. Web-компонент программы базируется на web-компоненте DarkSide, поскольку разработчики сочли ее «наиболее корректной с точки зрения структуры» (отдельные компании для каждой мишени и т.п.).

На сайте утечек BlackMatter пока не указаны никакие жертвы, но это не значит, что их нет. Группировка уже успела атаковать несколько компаний и в настоящее время ведет с ними переговоры об уплате выкупа. Пока ведутся переговоры, информация о жертвах на сайте не публикуется.

На вопрос, является ли BlackMatter новым названием все той же DarkSide (операции двух группировок имеют очень много общего ), собеседник Смелянца ответил, что группировка восхищается работой своих коллег из DarkSide и знакома с ней не понаслышке – раньше они работали вместе.

«Но мы – не они, хотя нам и близки их идеи», – уверил собеседник.

Группировка планирует постоянно совершенствовать свой продукт, добавляя в него новые возможности, и в настоящее время набирает команду. BlackMatter интересуют только опытные тестировщики на проникновение со своими «собственными решениями и стремлением зарабатывать», а все скрипт-кидди будут отсеиваться.

Представитель BlackMatter сообщил, что недавний уход с кибервымогательской арены таких крупных игроков, как DarkSide, REvil, Avaddon и BABUK во многом связан с геополитической ситуацией в мире.

«Прежде всего, это страх перед США и их намерением провести наступательные кибероперации, а также двойственная природа кибервымогательства. Мы следим за политической ситуацией и получаем сведения от других источников. Мы разрабатывали нашу инфраструктуру с учетом всех этих факторов и можем с уверенностью сказать, что способны противостоять наступательным кибервозможностям США», – заявил представитель BlackMatter.

Как долго продержится группировка, покажет время, но BlackMatter нацелена на долгосрочные операции. Тщательна модерация жертв (атаки на критическую инфраструктуру и нефтегазовую промышленность в BlackMatter запрещены) поможет ей избежать нежелательного внимания со стороны властей.

«Мы создали проект и вывели его на рынок точно в то время, когда ниша освободилась, и этот проект полностью удовлетворяет всем требованиям рынка, а значит, успех неизбежен», – заявили в BlackMatter.

Источник: securitylab