다크사이드의 후속작으로 등장한 블랙매터 랜섬웨어, REvil

BlackMatter는 2021년 7월에 설립된 새로운 서비스형 랜섬웨어(RaaS) 제휴 프로그램입니다. 블랙매터에 따르면, "이 프로젝트는 다크사이드, 레블, 락빗의 장점을 통합한 것"이라고 합니다.

아래 공개 블로그에 따르면 이 위협 행위자 그룹은 의료, 중요 인프라, 석유 및 가스, 방위, 비영리 및 정부를 포함한 여러 산업 분야의 조직을 대상으로 공격을 수행하지 않습니다.

그림 1: 공개 갈취 블로그(출처: BlackMatter 랜섬웨어)

최상위 포럼인 익스플로잇의 회원이자 블랙매터 랜섬웨어의 운영자로 추정되는 블랙매터는 현재 미국, 캐나다, 호주, 영국의 기업 네트워크에 대한 액세스 권한 구매를 광고하고 있습니다. 위협 행위자는 의료 및 정부를 제외한 모든 산업에 관심이 있으며, 다음과 같은 공격 대상 요건을 갖추고 있습니다:

• 매출 1억 달러 이상
• 네트워크 내 500~15,000개의 호스트

그림 2: 공개 광고(출처: 포럼 익스플로잇)

블랙매터는 네트워크 액세스에 대해 3,000~100,000달러의 가격대와 잠재적인 몸값에서 나오는 몫을 제공합니다. 블랙매터는 포럼 익스플로잇에 4비트코인(110,000달러)의 예치금을 보유하고 있습니다.

이 랜섬웨어는 여러 운영 체제 버전 및 아키텍처에 대해 제공되며, SafeMode를 지원하는 Windows 변종(EXE / Reflective DLL / PowerShell)과 NAS를 지원하는 Linux 변종을 포함하여 다양한 형식으로 제공됩니다: Synology, OpenMediaVault, FreeNAS(TrueNAS). 블랙매터에 따르면, 이 윈도우 랜섬웨어 변종은 윈도우 서버 2003+ x86/x64 및 윈도우 7+ x64/x86에서 성공적으로 테스트되었다고 합니다. Linux 랜섬웨어 변종은 ESXI 5+, Ubuntu, Debian 및 CentO에서 성공적으로 테스트되었습니다. Linux에서 지원되는 파일 시스템에는 VMFS, VFFS, NFS, VSAN이 있습니다.

레코디드 퓨처는 블랙매터 랜섬웨어와 관련된 진행 상황을 주시하고 있습니다.