Le groupe de ransomware BlackMatter détaille son opération de ransomware-as-a-service (RaaS) et dit se distinguer des gangs DarkSide et REvil, aujourd’hui disparus. Il explique son mode de fonctionnement dans une interview accordée aux analystes en cybersécurité de Recorded Future, publiée dans The Record.
Officiellement fondé en juillet 2021, BlackMatter utilise les codes de communication des entreprises. Ainsi, le groupe de rançongiciels déclare recruter des affiliés pour son programme RaaS et rechercher activement des courtiers d’accès initiaux pour l’aider à infiltrer des réseaux d’entreprise de grande valeur. Comme les processus de négociation de paiement des rançons sont délicats, il se dit prêt à offrir de bonnes conditions aux personnes possèdant les compétences adéquates.
BlackMatter cible les grandes entreprises présentant les caractéristiques suivantes : des revenus annuels d’au moins 100 millions de dollars et des réseaux comptant de 500 à 15.000 hôtes situés aux États-Unis, au Royaume-Uni, au Canada ou en Australie.
« Pour l’instant, nous nous concentrons sur le long terme. Nous modérons les cibles et ne laisserons pas notre projet être utilisé pour crypter des infrastructures critiques, ce qui attirerait sur nous une attention indésirable », explique l’un des représentants de BlackMatter. Le gang refuse d’attaquer les hôpitaux et les infrastructures critiques telles que les centrales nucléaires, les stations de traitement des eaux ou l’industrie pétrolière et gazière.
BlackMatter dit avoir bien observé les groupes de ransomware disparus pour affiner son mode de fonctionnement et émet les commentaires suivants à propos de REvil, LockBit et DarkSide :
REvil :« Leur mise en œuvre était peu réfléchie. Nous avons repris l’idée mais de manière plus approfondie. Nous avons également développé la version PowerShell de la variante du ransomware compte tenu de la mise en œuvre de REvil ».
LockBit : « Nous nous sommes légèrement inspirés de la base de code ».
DarkSide : « Nous avons adopté l’idée d’usurpation d’identité (la capacité du crypteur à utiliser le compte d’administrateur de domaine pour crypter les lecteurs partagés avec des droits maximums). Nous avons également emprunté la structure du panneau d’administration. »
Le porte-parole indique que le produit BlackMatter est en développement depuis six mois, que des attaques actives sont d’ores et déjà en cours et qu’au moins une victime a déjà versé 4 millions de dollars.
Interrogé sur les raisons pour lesquelles les professionnels de l’équipe BlackMatter utilisent leurs compétences pour des ‘activités destructrices’, le représentant se voit plutôt comme créateur de business et répond en ces termes : « Nous nous sommes rassemblés pour gagner de l’argent. (…) Nous ne nions pas que ces activités sont destructrices mais si nous y regardons de près, à la suite de ces problèmes, de nouvelles technologies sont développées et créées pour y remédier ».