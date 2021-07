in

L’émergence d’un nouvel acteur de la menace dans les forums clandestins a conduit les experts en cybersécurité à spéculer que la société pourrait peut-être simplement être l’opérateur de ransomware REvil sous un nom modifié.

Plus tôt ce mois-ci, le célèbre groupe de ransomware basé en Russie a mis toutes ses propriétés en ligne hors ligne, ce qui a laissé penser que le groupe aurait pu être touché par les forces de l’ordre, à la suite de son attaque extravagante contre les fournisseurs de services gérés (MSP) en exploitant une vulnérabilité dans le Logiciel de gestion à distance Kaseya VSA pour infecter des milliers d’ordinateurs dans le monde.

S’identifiant comme BlackMatter, le nouvel acteur de la menace a exprimé son intérêt pour l’achat d’un accès aux réseaux d’entreprise compromis aux États-Unis, au Royaume-Uni, au Canada et en Australie.

Les analystes de la société de renseignement à risque Flashpoint ont établi plusieurs similitudes entre BlackMatter et REvil en ce qui concerne leurs tactiques et leur politique consistant à rester à l’écart des institutions médicales et gouvernementales.

Pas de pistolet fumant

Après s’être inscrit sur les forums de hackers en russe, XSS et Exploit, BlackMatter a effectué un dépôt substantiel de quatre bitcoins (environ 150 000 $) sur un compte séquestre, avant de publier sa demande à la recherche de cibles.

Le sérieux de l’intention de BlackMatter est ce qui a immédiatement attiré l’attention des observateurs sur le groupe.

Cependant, les chercheurs de Flashpoint notent que le nouveau groupe pourrait simplement être des imitateurs imitant le comportement de REvil pour gagner immédiatement en crédibilité en tant que réincarnation.

De plus, alors que le langage de leur publication et leurs objectifs indiquent clairement que BlackMatter est un opérateur de ransomware, les chercheurs suggèrent qu’il ne faut pas sauter aux conclusions pour l’instant car « deux publications et un grand compte séquestre ne font pas un groupe de ransomware.