レコーデッド・フューチャー社は、今新しいランサムウェアグループが活動を開始したことを発見しました。
「BlackMatter」と名付けられたこのグループは現在、ExploitとXSSと名付けられた2つのサイバー犯罪フォーラムに掲載された広告を通じて、アフィリエイト(協力者)を募集しています。
この2つのフォーラムでは、5月以降、ランサムウェアの運用に関する広告が禁止されていますが、BlackMatterグループは、Ransomware-as-a-Service(RaaS)の提供を直接宣伝しているわけではなく、「初期アクセスブローカー」(ハッキングされた企業ネットワークへのアクセス権を持つ個人を指す用語)を募集する広告を掲載しています。
この広告によると、BlackMatterは、年商100億円=1億ドル以上の企業ネットワークへのアクセスを許可してくれるブローカーと協力したいと考えているようです。
BlackMatterグループによると、ターゲット企業は500〜15,000のホストを持ち、米国、英国、カナダ、オーストラリアのいずれかに所在する必要があるという。
これらの高価値な企業への独占的なアクセスに対して、最高1000万円=10万ドルまで支払うことができるとのことです。
BlackMatterグループは、適切なターゲットを見つけると、ブローカーから与えられたアクセス権を利用して、企業の内部システムを乗っ取るツールを展開し、ファイル暗号化のペイロードを展開していきます。
このグループは、さまざまなバージョンのOSやアーキテクチャを暗号化する能力があることを自負しています。
これには、Windowsシステム(SafeMode経由)、Linux(Ubuntu、Debian、CentOS)、VMWare ESXi 5+の仮想エンドポイント、ネットワーク接続型ストレージ(NAS)デバイス(Synology、OpenMediaVault、FreeNAS、TrueNASなど)が含まれます。
BlackMatterは、ダークウェブのリークサイトも運営しており、トップクラスのランサムウェアギャングと同様に、ダークウェブ上でリークサイトと呼ばれるウェブサイトを運営しています。
ここでは、ハッキングされた企業がファイルの復号化のための支払いに応じない場合に、被害者から盗んだデータを公開することを目的としています。
このサイトは現在空っぽであり、BlackMatterグループが今週立ち上げたばかりで、まだ侵入を行っていないことが確認できます。
このサイトの一部では、BlackMatterグループが攻撃を予定していないターゲットがリストされており
- 病院
- 重要インフラ施設(原子力発電所、発電所、水処理施設)
- 石油・ガス産業(パイプライン、製油所)
- 防衛産業
- 非営利企業
- 政府機関
BlackMatterグループは、これらの産業分野の被害者が感染した場合、データを無料で解読する予定だと主張しています。
米国のパイプライン事業者であるコロニアル社を攻撃した後に活動を停止したダークサイドグループのリークサイトに以前用意されていたサイトと非常によく似ているとのことです。
ランサムウェア「DarkSide」、わずか9ヶ月で90億円(9,000万ドル)を荒稼ぎ
Recorded Future社のアナリストは、これまでに観測された証拠に基づき、BlackMatterとかつてのDarksideグループとの間には関連性があると考えているが、この関連性はまだ調査中であると述べています。
Comments