Ransomware, Schadcode
Ransomware, Schadcode
Bildquelle: solarseven

BlackMatter-Ransomware: Offizieller Nachfolger von DarkSide und REvil?

Die neue BlackMatter-Ransomware will hoch hinaus. Das Beste von DarkSide, LockBit und REvil soll in einem neuen RaaS -Programm vereint werden

Kaum zwei Wochen ist es her, als wir erfahren haben, dass REvil offline gegangen ist. Nun scheint ein Nachfolger in die Fußstapfen der weltweit bekanntesten und auch gefürchtetsten Ransomware-Gang zu treten. BlackMatter verspricht seinen Kunden einen zuverlässigen Ransomware-as-a-Service (RaaS). Angriffe auf das Gesundheitswesen, kritische Infrastrukturen, gemeinnützige Organisationen und Behörden sollen aber diesmal „garantiert“ nicht ausgeführt werden.

Nur wenige Tage, nachdem US-Präsident Biden den russischen Präsidenten Wladimir Putin aufgefordert hatte, Ransomware-Gruppen, die amerikanische Ziele angreifen, zu stoppen, ging die aggressivste dieser Gruppen plötzlich vom Netz. REvil war zwar plötzlich spurlos verschwunden. Aber viele waren sich sicher, dass es nicht lange dauern würde, bis die Cyberkriminellen unter einem neuen Namen wieder auftauchen werden.

BlackMatter-Ransomware – Trittbrettfahrer oder offizieller Nachfolger?

Natürlich ist es noch nicht zu 100 Prozent sicher, dass es sich bei BlackMatter tatsächlich um den offiziellen Nachfolger der REvil-Ransomware-Gang handelt.

Es ist möglich, dass die Nachahmer das Verhalten von REvil absichtlich imitieren, um sofortige Glaubwürdigkeit zu erlangen, weil sie angeblich die Reinkarnation von REvil sind“ (Flashpoint)

Die Sicherheitsexperten von „Flashpoint“ sind aber der Meinung, dass so einiges dafür spricht. Denn, dass die BlackMatter-Ransomware kein kleiner Fisch ist, zeigt schon die beachtenswerte Geldsumme von immerhin 4BTC (ca. 150.000 USD). Diese enorme Summe wurde von den Cyberkriminellen auf ein Treuhandkonto in einem russischen Darknet-Forum eingezahlt. Und auch die Tatsache, dass REvil seinen Windows Registry Key zuvor mit dem Namen „BlackLivesMatter“ versehen hatte, könnte ein entsprechender Hinweis sein.

Steht uns ein groß angelegter Angriff bevor?

Zumindest deutet so einiges darauf hin. BlackMatter ist derzeit aktiv auf der Suche. Gesucht werden erfahrene Penetrationstester, welche sich mit Windows- und Linux-Systemen gleichermaßen auskennen. Aber auch Verkäufer von Erstzugängen werden gesucht. Diese sollen entweder ihren Zugang verkaufen oder für eine entsprechende Gewinnbeteiligung die Zugangsdaten weitergeben.

Interessant für die Cyberkriminellen sind laut Flashpoint vor allem sehr große Unternehmensnetzwerke in den USA, Kanada, Australien und auch Großbritannien. Und um auch ganz sicher kein Risiko einzugehen, sucht BlackMatter gezielt nach Unternehmen mit einem Jahresumsatz von mehr als 100 Millionen US-Dollar. Letzteres dürfte zumindest unseren Lars beruhigen. Denn die hochgesteckten Ziele dieser „neuen“ Ransomware-as-a-Service (RaaS) Gang dürften die Tarnkappe als mögliches Ziel ziemlich uninteressant erscheinen lassen. :D

Tarnkappe.info

Über

Sunny schreibt seit 2019 für die Tarnkappe. Er verfasst die wöchentlichen Lesetipps und berichtet am liebsten über Themen wie Datenschutz, Hacking und Netzpolitik. Aber auch in unserer monatlichen Glosse, in Interviews und in „Unter dem Radar“ - dem Podcast von Tarnkappe.info - ist er regelmäßig zu hören.