新的勒索团伙黑物质出现在网络犯罪论坛上

本月，威胁雷达上出现了两个新的勒索软件即服务（RaaS）项目，其中一个组织自称是DarkSide和REvil的继任者，这两个臭名昭著的勒索软件辛迪加在过去几个月对Colonial Pipeline和Kaseya进行了重大攻击后退出了网络。

“该项目本身融合了DarkSide、REvil和LockBit的最佳功能，”新黑物集团背后的运营商在其darknet公共博客中表示，并承诺不会打击多个行业的组织，包括医疗保健、关键基础设施、石油和天然气、国防、非营利和政府部门。

据Flashpoint称，这名黑物质威胁行为人于7月19日在俄语论坛XSS和Exploit上注册了一个帐户，随后迅速发布帖子，称他们正在寻求购买受感染企业网络的访问权限，该公司网络包括美国、加拿大、澳大利亚的500到15000台主机，而英国每年收入超过1亿美元，这可能暗示着大规模的勒索行动。

Flashpoint研究人员在一份报告中称：“该参与者将4BTC（约15万美元）存入其托管账户。论坛上的大额存款表明了该威胁参与者的严重性。”。“BlackMatter没有公开声明他们是勒索软件集体运营商，这在技术上不会违反论坛的规则，尽管他们帖子的语言以及他们的目标清楚地表明他们是勒索软件集体运营商。”

7月27日，据说该集团已开始使用Exploit forum的Jabber服务器积极招募合作伙伴和分支机构，以发布他们的招聘信息，其中他们声称正在寻找熟悉Windows和Linux系统的经验丰富的渗透测试人员以及初始访问供应商，他们要么出售自己的访问权限，要么为一定比例的利润而工作。

上个月，企业安全公司Proofpoint披露了勒索软件团伙如何越来越多地从独立的网络犯罪集团那里购买访问权限，这些网络犯罪集团渗透到主要目标，然后为他们提供一个部署数据盗窃和加密操作的入口点，以换取一部分非法所得。

随着殖民管道、JBS和Kaseya等勒索软件事件的高度曝光，黑物质的出现恰逢DarkSide和REvil的消亡，引发了人们的猜测，即这些组织最终可能会重新塑造品牌，并以新的身份重新出现。

虽然缺乏将BlackMatter和现已解散的组织联系起来的具体证据，但“针对目标的类似规则”以及REvil之前将其Windows注册表项标记为“BlackLivesMatter”的事实，证实了REvil可能确实在一系列引人注目的攻击后暂时中断并转入地下的理论。

Flashpoint说：“有可能是抄袭者故意模仿REvil的行为，以立即获得被指控为REvil转世的可信度。”。

然而，黑物质并不是唯一的新来者。韩国安全公司S2W实验室（S2W Labs）上周揭晓了另一家最新进入网络犯罪生态系统的公司Haron的秘密。Haron于本月亮相，并大量借鉴了过去的勒索软件变体，如Thanos和现已停产的Avaddon。