Ransomware BlacMatter Telah Mengubah Penerapan Algoritma Enkripsi ChaCha20

Cyberthreat.id - Sampel baru ransomware BlackMatter untuk Windows dan Linux mengungkapkan operatornya terus menambahkan fitur dan kemampuan enkripsi dalam iterasi berturut-turut selama periode tiga bulan.

Tidak kurang dari 10 Windows dan dua versi Linux dari ransomware telah diamati di alam liar hingga saat ini, The Hacker News mengutip peneliti ancaman Grup-IB Andrei Zhdanov dalam sebuah laporan. 

The Hacker News, Kamis 4 November 2021, mencatat bahwa dalam laporan tersebut juga menunjukkan perubahan dalam penerapan algoritma enkripsi ChaCha20 digunakan untuk mengenkripsi isi file. 

BlackMatter muncul pada Juli 2021 dengan bangga menggabungkan "fitur terbaik DarkSide, REvil, dan LockBit" dan dianggap sebagai penerus DarkSide, yang sejak itu ditutup bersama REvil setelah pengawasan penegakan hukum.

Beroperasi sebagai model ransomware-as-a-service (RaaS), BlackMatter diyakini telah menyerang lebih dari 50 perusahaan di AS, Austria, Italia, Prancis, Brasil, dan lainnya.

Bahkan, aktor ancaman menciptakan ruang obrolan Tor yang unik untuk komunikasi bagi setiap korban, tautan yang dilampirkan ke file teks yang berisi permintaan tebusan. BlackMatter juga diketahui menggandakan jumlah tebusan ketika ultimatum berakhir, sebelum pindah untuk mempublikasikan dokumen curian jika korban menolak membayar.

Menurut peneliti keamanan dari unit kontra-ransomware Microsoft, DarkSide dan perubahan merek BlackMatter-nya adalah hasil karya kelompok kejahatan dunia maya yang dilacak sebagai FIN7.

Baru-baru ini FIN7 membuka kedoknya dengan mengoperasikan perusahaan terdepan bernama Bastion Secure untuk memikat para profesional teknologi dengan tujuan meluncurkan serangan ransomware.

Ketika parameter lain ditetapkan atau parameter apa pun tidak ada, sistem sepenuhnya dienkripsi sesuai dengan pengaturan konfigurasi, "kata Zhdanov.

"Setelah menyelesaikan enkripsi, ransomware membuat gambar BMP yang memperingatkan bahwa file telah dienkripsi, yang kemudian ditetapkan sebagai wallpaper desktop. Mulai dari versi 1.4, ransomware juga dapat mencetak teks permintaan tebusan pada printer default korban."

Varian Linux, di sisi lain, dirancang menargetkan server VMware ESXi, yang menampilkan kemampuan menghentikan mesin virtual dan mematikan proses tertentu, termasuk firewall, sebelum memulai enkripsi data.

Temuan itu muncul saat VX-Underground, portal yang menampung kode sumber malware, sampel, dan makalah, mengungkapkan bahwa grup tersebut menghentikan operasinya "mengikuti tekanan dari otoritas lokal." 

Akbir bulan lalu telah dibekuk 12 orang karena mengatur serangan ransomware terhadap 1.800 korban di 71 negara sejak 2019. Dalam peringatan yang dikeluarkan pada 18 Oktober 2021, Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), dan National Security Agency (NSA) memperingatkan bahwa kelompok ransomware BlackMatter telah menargetkan "beberapa" organisasi yang dianggap infrastruktur penting, termasuk dua entitas di sektor pangan dan pertanian AS.[]