Вышли из тени: преемники «русских хакеров» начали киберохоту

Эксперты оценили опасность новой кибергруппировки BlackMatter

Depositphotos
В даркнете активизировалась новая русскоязычная группировка киберпреступников — BlackMatter. Хакеры используют наработки DarkSide и REvil, которые ранее провели несколько масштабных атак на американские компании. «Газета.Ru» узнала у специалистов, насколько опасна новая организация и связана ли она с печально известными, но уже неактивными группами.

Новое имя

Группировка BlackMatter впервые заявила о себе в даркнете в конце июля. На хакерских форумах от их имени начали появляться объявления о поиске партнеров и готовности заплатить $100 тыс. за доступ ко взломанным сетям компаний, чей доход за год составляет не менее $100 млн.

По данным BleepingComputer, слишком многое указывает на то, что хакеры появились не «с нуля», а на основе наработок и, возможно, членов уже неактивных группировок.

Недавно BlackMatter дала первое интервью, в котором рассказала о своем вымогательском ПО. Беседа с аналитиком ИБ-компании Recorded Future Дмитрием Смелянцом велась на русском языке.

По словам представителя хакеров, группировка работала над созданием одноименного вымогательского ПО около полугода. Перед разработкой проекта они подробно изучили вымогательские программы LockBit, REvil и DarkSide. Новые киберпреступники утверждают, что взяли себе лучшие функции из каждой разработки, при этом создав собственную.

Отмечается, что группировка уже успела атаковать несколько компаний и в настоящее время ведет с ними переговоры об уплате выкупа.

Знакомые приемы

BlackMatter имеет все характеристики опасной группировки, заявил в комментарии «Газете.Ru» замглавы Лаборатории компьютерной криминалистики Group-IB Олег Скулкин.

«Злоумышленники уже успели опубликовать информацию об одной из своих жертв на сайте», — отметил эксперт.

Специалист сообщил, что исследователи Group-IB проанализировали один из образцов указанной программы-вымогателя. «Пришли к выводу, что с точки зрения кода и функциональных возможностей она очень похожа на своих предшественников — DarkSide и REvil», — добавил Скулкин.

Однако эксперт добавил, что говорить о непосредственном участии бывших членов DarkSide и REvil в хакерской структуре BlackMatter пока преждевременно.

При этом в специализирующейся на кибербезопасности компании ESET не исключают, что в BlackMatter состоят в том числе те хакеры, кто недавно ушли в тень.

Специалист ESET в беседе с «Газетой.Ru» также выразил уверенность в том, что BlackMatter вряд ли станут атаковать критическую инфраструктуру или крупные финансовые организации — все те сферы, которые находятся в тесном контакте с правительствами и силовыми структурами.

«Как демонстрирует история, мало из тех, кто был на виду, остаются долго на этой сцене», — добавили в ESET. Эксперт заключил, что если группировка будет «вести себя, как на ток-шоу, то им не светит долгая жизнь».

Скрылись из виду

DarkSide прекратила свою деятельность после нашумевшей атаки на американского оператора трубопровода Colonial Pipeline. Тогда вымогатели зашифровали все сервера крупнейшей в США топливной компании, что привело к массовым проблемам в самых разных регионах страны.

В результате американские силовики начали серьезную охоту на хакеров.

В мае группировка лишилась доступа к своим серверам и криптовалютным активам, что и стало поводом для сворачивания деятельности. Позже стало известно, что ФБР удалось отобрать у DarkSide почти все биткоины, которые Colonial Pipeline заплатила хакерам за восстановление файлов.

REvil, которую на Западе бездоказательно связывают с Россией и Кремлем, стала всемирно известна после атаки на системы крупнейшего в мире производителя мяса JBS. Тогда корпорация согласилась выплатить хакерам $11 млн.

Потом киберпреступники провели широкомасштабную атаку, от которой пострадали сотни компаний по всему миру, в том числе фирма по производству программного обеспечения Kaseya.

Однако утром 14 июля хакеры удалили свои ресурсы из даркнета.

Подобный уход с радаров связали со взаимоотношениями двух ведущих мировых держав — России и США.

Исчезновение русскоязычной хакерской группы из активного поля выгодно для имиджа России, отмечали эксперты.