Los investigadores cibernéticos descubren un posible sucesor de bandas de ransomware que interrumpen la infraestructura crítica

Un nuevo grupo de ciberdelincuentes, BlackMatter, se ha formado como un sucesor potencial de las bandas de ransomware responsables de los principales ataques que afectan a la infraestructura crítica de EE. UU., Según los profesionales de la inteligencia cibernética.

La compañía de inteligencia cibernética Recorded Future dijo que el grupo BlackMatter ha incorporado características de las bandas de ransomware REvil y DarkSide.

El grupo REvil se apagó a principios de este mes después de golpear a la compañía de software Kaseya y sus clientes, mientras que la banda DarkSide pareció disiparse después de su golpe contra el principal proveedor estadounidense de combustibles Colonial Pipeline en mayo.

BlackMatter se ha comprometido a no afectar ciertas industrias, incluida la infraestructura crítica, defensa, atención médica, petróleo y gas, y gobiernos, entre otras, según Recorded Future. Pero BlackMatter está apuntando a empresas y entidades con ingresos de $ 100 millones o más.

“BlackMatter, un miembro del foro Exploit de primer nivel y probablemente un operador de ransomware BlackMatter, está anunciando la compra de acceso a redes corporativas en los EE. UU., Canadá, Australia y el Reino Unido”, escribió el Grupo Insikt de Recorded Future en el sitio web de la empresa.

Deberías leer:   Ex empleada de Theranos, Erika Cheung: las máquinas de Edison fallaron en las pruebas

La firma de inteligencia de riesgos Flashpoint también ha etiquetado a BlackMatter como un “posible cambio de marca” de REvil y DarkSide, pero fue más cautelosa al afirmar la conexión de BlackMatter con las otras bandas de ransomware.

Aproximadamente una semana después de que REvil parecía estar cerrando, Flashpoint dijo que observó a BlackMatter registrándose en sitios web ilícitos en ruso y colocando sumas de seis cifras en dólares en criptomonedas en una cuenta de depósito en garantía. Flashpoint también señaló que el portavoz de REvil y BlackMatter parecen compartir un entendimiento común de los objetivos aceptables.

“Si bien la información puede no ser una prueba irrefutable, puede indicar que REvil no se ha desconectado por completo, sino que simplemente tomó una pequeña pausa luego de algunas violaciones de alto perfil”, escribió Flashpoint en su sitio web. “También es importante tener en cuenta que dos publicaciones y una gran cuenta de depósito en garantía no forman un grupo de ransomware. Es posible que los imitadores estén imitando intencionalmente el comportamiento de REvil para ganar credibilidad inmediata por supuestamente ser la reencarnación de REvil “.

Deberías leer:   Una nueva investigación rompe los mitos populares sobre la innovación

BlackMatter no es la única entidad ciberdelincuente con vínculos a REvil y DarkSide que han surgido después de que la presencia digital de esas pandillas se desvaneció. El mes pasado, la firma de ciberseguridad FireEye dijo que detectó una filial de DarkSide dirigida a usuarios de software de televisión de circuito cerrado.

El seguimiento de los ciberatacantes y las bandas de ransomware es complicado, y el FBI le dijo anteriormente a The Washington Times que está rastreando alrededor de cien variantes diferentes de ransomware responsables de decenas a cientos de ataques.

Bryan Vorndran, subdirector de la división cibernética del FBI, le dijo al Comité Judicial del Senado esta semana que el gobierno federal ha creado un algoritmo que rastrea a los peores atacantes de ransomware.

“Tenemos un algoritmo interagencial completo que esencialmente prioriza de uno a 101 el nivel de impacto que cada variante ha tenido en los Estados Unidos, su economía y sus otras diversas acciones”, dijo Vorndran. “El más grande que conocemos, estimaríamos que sus ingresos por ataques superan los 200 millones de dólares para darle algún tipo de alcance sobre la propuesta de valor”.