BlackMatter: Ransomware-Entwickler werfen das Handtuch

Kommentare zu folgendem Beitrag: BlackMatter: Ransomware-Entwickler werfen das Handtuch

1 „Gefällt mir“

Meine erste Reaktion war: Das ist ja ein Hammer. Das dürfte tausenden Script-Kiddys den Job kosten :grin::+1:
Ich muss aber zugeben das ich in der Materie nicht so bewandert bin aber was ich herauslesen kann ist, dass Putin offensichtlich hier einen Riegel vorschiebt. Oder trügt mich der Schein? Oder ist das zu verbuchen unter „Nebelkerze“? Im Sinne von: Ich (Putin) beuge mich dem internationalen Druck und gehe hart gegen Ransomware vor, gebe aber gleichzeitig den Auftrag für ein Dutzend andere Groups?

in Verbindung mit der Cybersecurity-Firma Bastion Secure. Offenbar rekrutierten sie über diese Firma ahnungslose Unterstützer.

Ich meine sogar, dass Bastion Secure auch bei Groove mit zuständig war für das Recruiting!? OK, FIN7 war für die Entwicklung der BlackMatter und DarkSide Ransomware verantwortlich. Da diese aber auch unauffällig ausgeliefert werden musste, brauchte man noch ein zuverlässiges Lieferprogramm - und wer ist zuverlässig? Na klar, die Deutschen… :rofl: :rofl:

Unter (URL verfremdet):

https://samples.vx-underground[.]org/BA5iUzSNfx7GMLwVxndRb5hSWm9MDN/TeamTNTT**ls.7z

…erkennt man einen BV:Miner-EV\ [Trj], Trojan:Linux/CoinMiner.as!MTB der deutschen Malware Gruppe TeamTNT.
Dieser wurde von den Ransomware-Gruppierungen BlackMatter sowie Conti zusammen bei TeamTNT gestohlen und zum Lieferantenprogramm umgebaut, um ihn für die aktuellen Rasomware-Attacken zu nutzen! Es gibt wohl auch Aussagen, dass die Miner-Scripts nicht gestohlen wurden, da bei TeamTNT sowieso alles Open Source sei… :wink:

Analyse des Miners, siehe hier → https://otx.alienvault.com/indicator/file/cef2707760086718175235810e3e49a7bbfedce482dee09eef3d302247e97142

TeamTNT - Server:

Anomali Threat Research hat einen offenen Server zu einem Verzeichniseintrag entdeckt, den man der deutschsprachigen Bedrohungsgruppe TeamTNT zuordnen kann.
Der Server enthält Quellcode, Skripte, Binärdateien und Cryptominers, die auf Cloud-Umgebungen abzielen.
Zu den weiteren Inhalten des Servers gehören Amazon Web Services (AWS). Von TeamTNT-Dieben gestohlene Zugangsdaten werden ebenfalls auf dem Server gehostet.
Dieser Einblick in die TeamTNT-Infrastruktur und die verwendeten Tools kann Sicherheitsteams dabei helfen, die Erkennungsmöglichkeiten für entsprechende Angriffe zu verbessern, unabhängig davon, ob sie direkt von TeamTNT oder von anderen Cyberkriminellen ausgehen, die deren Tools nutzen.

Überblick:
Anomali Threat Research hat einen TeamTNT-Server identifiziert, der für Verzeichniseinträge offen ist. Der Server wurde für die Bereitstellung von Skripten und Binärdateien verwendet, die TeamTNT bei seinen Angriffen einsetzt, und auch für die IRC-Kommunikation seines Bots. Das Verzeichnis scheint seit mindestens August 2021 in Gebrauch zu sein und war am 5. Oktober 2021 in Betrieb. Der Inhalt des Verzeichnisses enthält Metadaten, Skripte, Quellcode und gestohlene Anmeldedaten.
TeamTNT ist eine deutschsprachige Kryptojacking-Bedrohungsgruppe, die auf Cloud-Umgebungen abzielt. Die Gruppe verwendet in der Regel Kryptojacking-Malware und ist seit mindestens April 2020 aktiv. Die Aktivitäten von TeamTNT im Jahr 2021 zielten auf AWS, Docker, GCP, Linux, Kubernetes und Windows ab, was den üblichen TeamTNT-Aktivitäten entspricht.
Auf dem Server befinden sich etwa 50 Skripte, von denen die meisten bereits dokumentiert sind, im Verzeichnis /cmd/. Die Zielsetzung der Skripte variiert und umfasst die folgenden:

  • AWS Credential Stealer
  • Diamorphine Rootkit
  • IP Scanners
  • Mountsploit
  • Scripts to set up utils
  • Scripts to setup miners
  • Scripts to remove previous miners

Eine sehr heikle Situation an sich ist der freie, offene Daten-Server von TeamTNT - es stehen folgende Fragen im Raum:

TeamTNT ist eine hochaktive Gruppe, die sich ständig weiterentwickelt und die Cloud-Infrastruktur ins Visier nimmt. Die Entdeckung ihrer Infrastruktur gibt Aufschluss über ihre Toolsets. Es ist derzeit nicht bekannt, ob TeamTNT diesen Server absichtlich für Verzeichniseinträge offen gelassen hat und warum. Es ist jedoch nicht das erste Mal, dass der TeamTNT-Server offen ist, wie Unit42 im Juni 2021 berichtete. Darüber hinaus scheint die Gruppe kein Problem damit zu haben, dass ihr Toolset veröffentlicht wird, und tauscht sich auf Twitter mit Sicherheitsforschern aus, wobei sie sogar Empfehlungen für die Verwendung der Tools gibt.

35_219be8b45e6aa59c6bafbc63a0c4942403