Últimas notícias

Fique informado
BlackMatter: nova gangue surge em meio a especulações sobre retorno do REvil e do Darkside

BlackMatter: nova gangue surge em meio a especulações sobre retorno do REvil e do Darkside

4 de agosto de 2021

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Vazamento de lista de pessoas de interesse de clientes da NSO expõe indústria da insegurança

A lista conta com jornalistas, ativistas, chefes de Estado, diplomatas, políticos e líderes religiosos, dentre outros.

28 de julho de 2021

Sumiço do REvil pode ser fruto tanto do sucesso, quanto do fracasso da diplomacia

Todos os sites dos operadores do ransomware REvil saíram do ar na terça-feira passada

21 de julho de 2021

Incidente na Kaseya chama a atenção para atrativa maneira em propagar de ataques

O incidente na Kaseya resultou na indisponibilização de ativos de mais de mil empresas no início deste mês.

14 de julho de 2021

O que o vazamento do Marriott nos ensina sobre ataques persistentes. Por Carlos Cabral da Tempest

Criminosos permaneceram por quatro anos na rede dos hotéis do Marriott e 500 milhões de pessoas foram afetadas

20 de dezembro de 2018

Uma nova gangue de ransomware que promete juntar o que há de melhor entre as extintas DarkSide e REvil e a recentemente prolífica LockBit surgiu na semana passada

Por Carlos Cabral

Nomeada como BlackMatter, seus operadores criaram contas nos fóruns do underground mais ativos da atualidade, postaram um chamado de recrutamento a afiliados e depositaram uma boa quantidade de dinheiro na conta de um desses fóruns para declarar aberta a temporada de negociação.

Diferentemente do que muitos pensam, os fóruns do underground usados pelo cibercrime não são somente um canal para a troca de ideias como no passado. Na verdade, eles operam como marketplaces em que o usuário deposita dinheiro no fórum como quem compra fichas em um cassino e o administrador do fórum atribui a si uma fração desse dinheiro, muitas vezes por comissão em cada transação.

Avatar do BlackMatter em um fórum, destaque para o valor depositado. Imagem: The Record.

Ao fazer um depósito na conta, essa informação é exibida em seu avatar, de modo que depositar uma bolada é uma forma de ostentar dinheiro, como quem acumula um monte de fichas no cassino, mas também pode ser uma maneira de demonstrar que não se está ali para brincadeira. Os operadores do BlackMatter depositaram 4 bitcoins, aproximadamente 800 mil reais, de largada.

A postagem de anúncios estritamente ligados à atividade de ransomware foi proibida pelos administradores da maioria dos fóruns desde maio, após o ataque contra Colonial Pipeline ter causado o desabastecimento de combustível em boa parte dos Estados Unidos, o que consequentemente chamou muita atenção. Na ocasião, os websites do ransomware DarkSide, responsável pelo incidente, saíram do ar (ou foram tirados, não sabemos) o que foi um choque de realidade para boa parte do cibercrime.

No entanto, o anúncio do BlackMatter usou de um discurso um pouco diferente, dando ênfase ao fato de que eles buscam pessoas interessadas em vender acesso inicial às redes das empresas. Para quem fizer a ginástica interpretativa correta, isso não se classificaria como uma violação das regras dos fóruns, pois não se fala diretamente em ransomware.

A postagem possui requisitos bem claros: eles pagarão até cem mil dólares por acesso exclusivo a empresas nos Estados Unidos, Reino Unido, Canadá e Austrália. Os alvos não podem ser organizações governamentais ou de saúde e precisam ter entre quinhentos e quinze mil hosts além de receita acima de cem milhões de dólares ao ano.

Em uma entrevista com os operadores do ransomware, publicada pelo The Record nesta segunda (2), estes requisitos são detalhados e somados à determinação de que são os operadores do ransomware que escolherão os alvos, pois há uma preocupação bastante clara em equilibrar o lucro com a cautela.

Anúncio do BlackMatter em um fórum. Imagem: The Record.

É claro que, assim que a notícia de que havia um novo player no cenário do ransomware se espalhou, muita gente passou a especular se o BlackMatter seria, na verdade um rebranding do Darkside ou do REvil por conta do tipo de alvo de interesse e da demonstração de um suposto profissionalismo.

Na entrevista, as pessoas por trás do ransomware procuram descolar sua imagem não só daquilo que foi o DarkSide e o REvil, mas também do LockBit.

Eles apontam erros e acertos das três gangues e prometem fazer melhor não só no ransomware, mas também na operação.

Simplesmente não é possível determinar se uma operação tem relação com outra, sobretudo quando consideramos o fato de que essas gangues atuam muitas vezes como um cartel, com gente negociando serviços de forma bastante dinâmica.

Para os que estão focados em se defender, faz mais sentido direcionar os esforços em evitar se tornar a fruta no ponto mais baixo da árvore. Os caminhos para isso são bem documentados e passam por fazer o essencial em segurança, como gerir vulnerabilidades e configurações.

O que o vazamento do Marriott nos ensina sobre ataques persistentes. Por Carlos Cabral da Tempest

Quatro perspectivas para entender o caso Cambridge Analytica & Facebook

Vazamento de lista de pessoas de interesse de clientes da NSO expõe indústria da insegurança