- Joined
- Jan 19, 2011
- Messages
- 7,653
- Contests
- 0
- Reaction score
- 112
Хакеры из закрывшейся группировки BlackMatter, которую на Западе традиционно ассоциируют с Россией, предрекли закат рынка программ-вымогателей. Заявление прозвучало в интервью, которое киберпреступники дали Сергею Иванову, основателю Telegram-канала Russian OSINT.
«После нашего ухода останется всего несколько низкопрофессиональнных проектов, вроде LockBit. Но это — временное явление, учитывая последние геополитические события, в частности, передачу информации между США и Россией», — сказал хакер из BlackMatter. Он добавил, что точкой невозврата стала атака группировки DarkSide на американскую систему трубопроводов Colonial Pipeline, после которой в США активизировали борьбу с киберпреступностью.
Говоря о причинах ухода с рынка, «русский хакеры» рассказали о множестве негативных факторов, которые вскоре «окончательно забьют последние гвозди» в направление программ-вымогателей. «Мы предпочитаем уходить заранее и своим ходом, чем наслаждаться 20 лет окном в клетку. Поэтому всем желаем мира и добра, без нас этот мир станет лучше. И передаем привет США. Иногда планы не сбываются, и все идет не так, как угодно вашей стране, стоит к этому привыкнуть», — отметил киберпреступник.
Отвечая на вопрос о том, что им больше нравилось в их работе, хакеры из BlackMatter ответили, что их привлекал как сам процесс, так и деньги, уточнив, что свобода тоже важна для них. При этом они заявили, что выполнили данное летом 2021 года обещание и не производили атаки на объекты критической инфраструктуры США: «До 20 процентов компаний не были одобрены (в качестве цели для атаки, — прим. Ленты.ру) в BlackMatter».
Кибератака группировки DarkSide на американскую систему трубопроводов Colonial Pipeline спровоцировала в США серьезный топливный кризис. В ряде городов восточного побережья страны не работали до 90 процентов заправок. Президент США ввел в стране режим чрезвычайного положения, а Colonial Pipeline была вынуждена выплатить выкуп в размере 4,4 миллиона долларов.
Вскоре после этого DarkSide прекратила свое существование, но летом 2021 года в даркнете появилась группировка BlackMatter. В среде профильных специалистов и самими хакерами высказывалось предположение, что ее основой стали киберпреступники из DarkSide. Члены BlackMatter называли себя новыми лидерами даркнета, а на хакерских форумах представители группировки объявляли о готовности заплатить за доступ к взломанным корпоративным сетям. Самые громкие атаки объединения связаны с компаниями New Cooperative и Olimpus.
В ноябре 2021 года группировка прекратила свое существование и свернула деятельность. Сообщение об этом было размещено на одном из ресурсов хакеров в даркнете. В нем преступники пожаловались на давление со стороны властей, а также на недоступность части команды «в связи с последними событиями», под которыми, судя по всему, подразумевалось, среди прочего, активное сотрудничество российских и западных спецслужб. До этого после кибератаки, организованной ФБР и секретными службами США, прекратила свое существование другая ассоциируемая с Россией группировка — REvil.
ТЕКСТОВОЕ ИНТЕРВЬЮ С BLACK MATTER
Сразу после публикации интервью компанией Recorded Future, возникла идея сделать похожее текстовое интервью и задать свои вопросы. Шифровальщики не боятся публиковать контакты в открытом доступе, поэтому списаться с ними могут практически все от журналистов до правоохранительных органов. Журналистский опыт переписки обычно выглядит следующим образом: "Возможно взять у вас интервью? - Можете, присылайте вопросы". После того как вопросы были отправлены ещё летом - наступило молчание.
3 ноября в СМИ вышла новость о том, что проект BlackMatter закрывается. Об этом написали многие профильные ИБ каналы в Telegram. Тук-тук. Внезапно раздался звук сообщения с того аккаунта, куда я писал летом. Месседж был кратким: "Можете снова отправить свои вопросы, ответим". Показать для читателя ещё одну альтернативную точку зрения по теме ransomware является большой удачей для блогера-журналиста (все три группы разные и конкурируют друг с другом REvil, LockBit и BlackMatter), поэтому буквально за несколько часов второпях пришлось отредактировать отправленные ещё летом вопросы и направить их адресату. Спустя короткое время, ответы пришли в традиционном формате вопрос-ответ.
Без каких-либо предупреждений, пояснений к ответам, дополнительных комментариев, аккаунт собеседника тут же загорелся статусом "не в сети". По тексту ниже читателю станет понятно почему. Вопросы не удалось нормально подготовить из-за спешки, поэтому не судите строго:
Вопрос: Название BlackMatter, есть ли тут связь с DarkSide? Западные ИБ специалисты утверждали, что ваше название является ребрендом старого названия DarkSide. Так кто же вы?
Ответ: За проектами BlackMatter стояли разные личности, но связывала их лишь одна вещь-покупка исходных кодов, перед закрытием DarkSide.
Были куплены исходные коды админ панели и Windows, Linux пришлось разрабатывать с нуля, так как не были достигнуты договоренности о продаже исходного кода.
Вопрос: Возможно, известность партнерской программы во многом зависит от количества упоминаний атак в СМИ, названий брендов компаний, а также $ выкупов. Не ИБ специалистам трудно отличить Avaddon от Conti, REvil от Maze, Lockbit от Babuk, так в чем же принципиальное отличие локеров (шифровальщики) друг от друга? PR и технические характеристики?
Ответ: На наш взгляд маркетинг и позиционирование играет ключевую роль, так же дальше идут технические характеристики. В целом локеры друг от друга существенно не отличаются.
Вопрос: Почему проект Black Matter выбрал в качестве референса группировки REvil, DarkSide и LockBit, а не Avaddon, Conti, Maze, Babuk?
Ответ: Первые два проекта-благодаря их стратегии позиционирования на рынке, а так же иновационным решениям. Lockbit-благодаря его единственному преимуществу-неплохой кодовой базы Windows. Остальные проекты не рассматривались из-за их примитивного уровня развития или отсутствия на рынке на момент запуска партнерской программы.
Вопрос: Почему самые разыскиваемые ransomware группы не против текстовых интервью с блогерами, журналистами СМИ и даже cybersec экспертами Threat Intelligence, последние, как раз являются охотниками на самих же шифровальщиков. Почему одни боятся огласки, а другие наоборот, не против заявить о себе?
Ответ: Интервью в том формате, которое даем мы-не нарушает нашу приватность, так же мы отходим от дел, на момент публикации интервью все улики уже уничтожены.
Вопрос: Когда группы дают интервью журналистам, блогерам, и ИБ специалистам, проверяется ли их аффилированность к спецслужбам?
Ответ: Мы не можем проверить их на аффилированность, так же, как они не могут идентецыфировать наши личности. Мир это театр.
Вопрос: Первое публичное интервью вы дали бывшему хакеру Дмитрию Смилянцу, который сейчас работает в Recorded Future. Ни для кого ни секрет, что изначально Recorded Future финансировался в качестве стартапа компанией Google и венчурным фондом In-Q-Tel, который тесно связан с ЦРУ.
По версии некоторых западных СМИ, получается якобы хакеры из СНГ отвечают на специально подготовленные вопросы аналитиков разведки США, чтобы тем было легче провести поведенческий анализ. Звучит как откровенное безумие cо стороны шифровальщиков. В чём смысл?
Ответ: На тот момент BlackMatter необходимо было громкое интервью для поднятия интереса со стороны потенциальных клиентов, момент когда спецслужбы узнали бы о новой ПП был не столь важен, это было ожидаемо.
Вопрос: Объясните что такое мимикрия: маскировка кода, добавление специфичных конструкций кода, что ещё?
Ответ: Технически это выглядит как модификация ПО используемого определенной группировкой. ПО можно скачать на virustotal, malwarebazar или других ресурсах, далее с имитировать командный сервер и перезаписать его данные в билде.
Вопрос: В интервью Дмитрию, вы сообщили, что знаете и общались с командой DarkSide. По-вашему мнению, атака на Colonial Pipeline это случайная атака в лоб, при которой хакеры не рассчитывали на столь сильное давление общественности или спланированная атака? Как бы вы прокомментировали?
Ответ: Цель была заработок, а не участие в геополитической игре.
Вопрос: Недавно в сеть попал исходный код Babuk, а также нашумела история с Conti, когда недовольный участник «партнерской программы» опубликовал в сеть некие обучающие материалы. Как подобные события влияют на другие группировки?
Ответ: Никак, исходные коды Babuk низкого качества, возможно кто то их и будет использовать.
Вопрос: После истории с Colonial Pipeline, как считаете, снизится ли общее количество атак на КИИ (критическая инфраструктура), так как партнерским программам становится все опаснее и сложнее работать с учётом такого давления и внимания со стороны общественности.
Ответ: Colonial Pipeline запустил необратимый процесс в ходе которого закроются все партнерские программы, где управляющая команда осталась адекватной и понимает все риски. Всех денег не заработаешь.
Вопрос: RaaS практически всегда выступает в качестве фронтмена, переговорщика и PR службы одновременно, но основную работу делают партнёры (affiliates), как бы вы оценили в процентном соотношении зависимость успеха ПП от партнёров?
Ответ: Все RaaS держатся на партнерах в первую очередь, да все верно-партнеры находятся в тени и ПП берет основной удар и внимание на себя, за что собственно получает свое вознаграждение.
Вопрос: Могут ли в теории недружественные ПП имитировать атаки друг друга, например, профессионально мимикрировать под конкурентов, чтобы атаковать КИИ или больницы. Таким образом, ПП которая заявила ранее о запрете атак на КИИ вынуждена оправдываться или даже закрыться.
Ответ: Вполне, но пока такого мы не встречали.
Вопрос: Какую часть в доходах вы потеряли когда исключили объекты КИИ?
Ответ: До 20% компаний не были одобрены в BlackMatter.
Вопрос: Сельское хозяйство все чаще атакуется шифровальщиками, допустим, в руки ПП попадает система контроля полива почвы или шифруются таблицы внесения удобрений - предприятие работать не может. Все это сказывается на продовольственном обеспечении региона. Подпадают ли агропредприятия под термин критическая инфраструктура, по вашему мнению?
Ответ: Не подпадают, наши слова не отличаются от тех, что мы уже писали. Если брать пример NEW Cooperative - таких компаний сотни в США и нельзя говорить о том, что при временной неработоспособности систем-нарушится вся пищевая цепочка.
Другое дело-нефтеперарабатывающие заводы, станции по очистке воды и другие действительно критические объекты. BlackMatter ни разу не атаковала такие предприятия.
Вопрос: В интервью с LockBit утверждалось, что один из лучших антивирусных продуктов это Bitdefender. А как вы считаете, какие антивирусы могут помочь компаниям защищать себя от шифровальщиков?
Ответ: Мы советуем ставить компаниям такие антивирусы как: Carbon Black, Cylance, Bit9. При одном виде таких АВ сразу делается вывод, что компания-проблемная и проще найти, что-то другое. То, что BitDefender никакой, а LockBit не разбирается-это факт.
Вопрос: Android ransomware в виде червя это миф или реальность?
Ответ: Может и реальность, но вряд ли прибыльная, по этому не знаем. Нас всегда интересовали корпоративные сети
Вопрос: Спокойные выходные у безопасников без шифровальщиков когда-нибудь настанут?
Ответ: Уже стали спокойнее, после нашего ухода останется всего несколько низкопрофессиональнных проектов вроде LockBit. Но это временное явление, учитывая последние геополитические события (передача информации между США и Россией).
Вопрос: Что важнее деньги или процесс?
Ответ: Процесс и деньги, а так же свобода.
Вопрос: Путь или результат?
Ответ: Путь, а потом результат. У всего есть конец.
Вопрос: Почему уходите?
Ответ: Уход связан с множеством негативных факторов которые скоро окончательно забьют последние гвозди в направление Ransomware. Мы предпочитаем уходить заранее и своим ходом, чем наслаждаться 20 лет окном в клетку.
По этому всем желаем мира и добра, без нас этот мир станет лучше
И передаем привет США, иногда планы не сбываются и все идет не так как вашей ********************и угодно, стоит к этому привыкнуть.
Вот такое небольшое интервью получилось. Наступил ли закат для шифровальщиков покажет только время. На примере 3-х интервью с прямыми конкурентами REvil, LockBit и BlackMatter тема раскрыта более чем полностью, поэтому подобных интервью пока больше не будет. Выводы делайте самостоятельно.
• Source: Link hidden, please Sign inor Sing up
• Source: Link hidden, please Sign inor Sing up
«После нашего ухода останется всего несколько низкопрофессиональнных проектов, вроде LockBit. Но это — временное явление, учитывая последние геополитические события, в частности, передачу информации между США и Россией», — сказал хакер из BlackMatter. Он добавил, что точкой невозврата стала атака группировки DarkSide на американскую систему трубопроводов Colonial Pipeline, после которой в США активизировали борьбу с киберпреступностью.
Говоря о причинах ухода с рынка, «русский хакеры» рассказали о множестве негативных факторов, которые вскоре «окончательно забьют последние гвозди» в направление программ-вымогателей. «Мы предпочитаем уходить заранее и своим ходом, чем наслаждаться 20 лет окном в клетку. Поэтому всем желаем мира и добра, без нас этот мир станет лучше. И передаем привет США. Иногда планы не сбываются, и все идет не так, как угодно вашей стране, стоит к этому привыкнуть», — отметил киберпреступник.
Отвечая на вопрос о том, что им больше нравилось в их работе, хакеры из BlackMatter ответили, что их привлекал как сам процесс, так и деньги, уточнив, что свобода тоже важна для них. При этом они заявили, что выполнили данное летом 2021 года обещание и не производили атаки на объекты критической инфраструктуры США: «До 20 процентов компаний не были одобрены (в качестве цели для атаки, — прим. Ленты.ру) в BlackMatter».
Кибератака группировки DarkSide на американскую систему трубопроводов Colonial Pipeline спровоцировала в США серьезный топливный кризис. В ряде городов восточного побережья страны не работали до 90 процентов заправок. Президент США ввел в стране режим чрезвычайного положения, а Colonial Pipeline была вынуждена выплатить выкуп в размере 4,4 миллиона долларов.
Вскоре после этого DarkSide прекратила свое существование, но летом 2021 года в даркнете появилась группировка BlackMatter. В среде профильных специалистов и самими хакерами высказывалось предположение, что ее основой стали киберпреступники из DarkSide. Члены BlackMatter называли себя новыми лидерами даркнета, а на хакерских форумах представители группировки объявляли о готовности заплатить за доступ к взломанным корпоративным сетям. Самые громкие атаки объединения связаны с компаниями New Cooperative и Olimpus.
В ноябре 2021 года группировка прекратила свое существование и свернула деятельность. Сообщение об этом было размещено на одном из ресурсов хакеров в даркнете. В нем преступники пожаловались на давление со стороны властей, а также на недоступность части команды «в связи с последними событиями», под которыми, судя по всему, подразумевалось, среди прочего, активное сотрудничество российских и западных спецслужб. До этого после кибератаки, организованной ФБР и секретными службами США, прекратила свое существование другая ассоциируемая с Россией группировка — REvil.
ТЕКСТОВОЕ ИНТЕРВЬЮ С BLACK MATTER
Сразу после публикации интервью компанией Recorded Future, возникла идея сделать похожее текстовое интервью и задать свои вопросы. Шифровальщики не боятся публиковать контакты в открытом доступе, поэтому списаться с ними могут практически все от журналистов до правоохранительных органов. Журналистский опыт переписки обычно выглядит следующим образом: "Возможно взять у вас интервью? - Можете, присылайте вопросы". После того как вопросы были отправлены ещё летом - наступило молчание.
3 ноября в СМИ вышла новость о том, что проект BlackMatter закрывается. Об этом написали многие профильные ИБ каналы в Telegram. Тук-тук. Внезапно раздался звук сообщения с того аккаунта, куда я писал летом. Месседж был кратким: "Можете снова отправить свои вопросы, ответим". Показать для читателя ещё одну альтернативную точку зрения по теме ransomware является большой удачей для блогера-журналиста (все три группы разные и конкурируют друг с другом REvil, LockBit и BlackMatter), поэтому буквально за несколько часов второпях пришлось отредактировать отправленные ещё летом вопросы и направить их адресату. Спустя короткое время, ответы пришли в традиционном формате вопрос-ответ.
Без каких-либо предупреждений, пояснений к ответам, дополнительных комментариев, аккаунт собеседника тут же загорелся статусом "не в сети". По тексту ниже читателю станет понятно почему. Вопросы не удалось нормально подготовить из-за спешки, поэтому не судите строго:
Вопрос: Название BlackMatter, есть ли тут связь с DarkSide? Западные ИБ специалисты утверждали, что ваше название является ребрендом старого названия DarkSide. Так кто же вы?
Ответ: За проектами BlackMatter стояли разные личности, но связывала их лишь одна вещь-покупка исходных кодов, перед закрытием DarkSide.
Были куплены исходные коды админ панели и Windows, Linux пришлось разрабатывать с нуля, так как не были достигнуты договоренности о продаже исходного кода.
Вопрос: Возможно, известность партнерской программы во многом зависит от количества упоминаний атак в СМИ, названий брендов компаний, а также $ выкупов. Не ИБ специалистам трудно отличить Avaddon от Conti, REvil от Maze, Lockbit от Babuk, так в чем же принципиальное отличие локеров (шифровальщики) друг от друга? PR и технические характеристики?
Ответ: На наш взгляд маркетинг и позиционирование играет ключевую роль, так же дальше идут технические характеристики. В целом локеры друг от друга существенно не отличаются.
Вопрос: Почему проект Black Matter выбрал в качестве референса группировки REvil, DarkSide и LockBit, а не Avaddon, Conti, Maze, Babuk?
Ответ: Первые два проекта-благодаря их стратегии позиционирования на рынке, а так же иновационным решениям. Lockbit-благодаря его единственному преимуществу-неплохой кодовой базы Windows. Остальные проекты не рассматривались из-за их примитивного уровня развития или отсутствия на рынке на момент запуска партнерской программы.
Вопрос: Почему самые разыскиваемые ransomware группы не против текстовых интервью с блогерами, журналистами СМИ и даже cybersec экспертами Threat Intelligence, последние, как раз являются охотниками на самих же шифровальщиков. Почему одни боятся огласки, а другие наоборот, не против заявить о себе?
Ответ: Интервью в том формате, которое даем мы-не нарушает нашу приватность, так же мы отходим от дел, на момент публикации интервью все улики уже уничтожены.
Вопрос: Когда группы дают интервью журналистам, блогерам, и ИБ специалистам, проверяется ли их аффилированность к спецслужбам?
Ответ: Мы не можем проверить их на аффилированность, так же, как они не могут идентецыфировать наши личности. Мир это театр.
Вопрос: Первое публичное интервью вы дали бывшему хакеру Дмитрию Смилянцу, который сейчас работает в Recorded Future. Ни для кого ни секрет, что изначально Recorded Future финансировался в качестве стартапа компанией Google и венчурным фондом In-Q-Tel, который тесно связан с ЦРУ.
По версии некоторых западных СМИ, получается якобы хакеры из СНГ отвечают на специально подготовленные вопросы аналитиков разведки США, чтобы тем было легче провести поведенческий анализ. Звучит как откровенное безумие cо стороны шифровальщиков. В чём смысл?
Ответ: На тот момент BlackMatter необходимо было громкое интервью для поднятия интереса со стороны потенциальных клиентов, момент когда спецслужбы узнали бы о новой ПП был не столь важен, это было ожидаемо.
Вопрос: Объясните что такое мимикрия: маскировка кода, добавление специфичных конструкций кода, что ещё?
Ответ: Технически это выглядит как модификация ПО используемого определенной группировкой. ПО можно скачать на virustotal, malwarebazar или других ресурсах, далее с имитировать командный сервер и перезаписать его данные в билде.
Вопрос: В интервью Дмитрию, вы сообщили, что знаете и общались с командой DarkSide. По-вашему мнению, атака на Colonial Pipeline это случайная атака в лоб, при которой хакеры не рассчитывали на столь сильное давление общественности или спланированная атака? Как бы вы прокомментировали?
Ответ: Цель была заработок, а не участие в геополитической игре.
Вопрос: Недавно в сеть попал исходный код Babuk, а также нашумела история с Conti, когда недовольный участник «партнерской программы» опубликовал в сеть некие обучающие материалы. Как подобные события влияют на другие группировки?
Ответ: Никак, исходные коды Babuk низкого качества, возможно кто то их и будет использовать.
Вопрос: После истории с Colonial Pipeline, как считаете, снизится ли общее количество атак на КИИ (критическая инфраструктура), так как партнерским программам становится все опаснее и сложнее работать с учётом такого давления и внимания со стороны общественности.
Ответ: Colonial Pipeline запустил необратимый процесс в ходе которого закроются все партнерские программы, где управляющая команда осталась адекватной и понимает все риски. Всех денег не заработаешь.
Вопрос: RaaS практически всегда выступает в качестве фронтмена, переговорщика и PR службы одновременно, но основную работу делают партнёры (affiliates), как бы вы оценили в процентном соотношении зависимость успеха ПП от партнёров?
Ответ: Все RaaS держатся на партнерах в первую очередь, да все верно-партнеры находятся в тени и ПП берет основной удар и внимание на себя, за что собственно получает свое вознаграждение.
Вопрос: Могут ли в теории недружественные ПП имитировать атаки друг друга, например, профессионально мимикрировать под конкурентов, чтобы атаковать КИИ или больницы. Таким образом, ПП которая заявила ранее о запрете атак на КИИ вынуждена оправдываться или даже закрыться.
Ответ: Вполне, но пока такого мы не встречали.
Вопрос: Какую часть в доходах вы потеряли когда исключили объекты КИИ?
Ответ: До 20% компаний не были одобрены в BlackMatter.
Вопрос: Сельское хозяйство все чаще атакуется шифровальщиками, допустим, в руки ПП попадает система контроля полива почвы или шифруются таблицы внесения удобрений - предприятие работать не может. Все это сказывается на продовольственном обеспечении региона. Подпадают ли агропредприятия под термин критическая инфраструктура, по вашему мнению?
Ответ: Не подпадают, наши слова не отличаются от тех, что мы уже писали. Если брать пример NEW Cooperative - таких компаний сотни в США и нельзя говорить о том, что при временной неработоспособности систем-нарушится вся пищевая цепочка.
Другое дело-нефтеперарабатывающие заводы, станции по очистке воды и другие действительно критические объекты. BlackMatter ни разу не атаковала такие предприятия.
Вопрос: В интервью с LockBit утверждалось, что один из лучших антивирусных продуктов это Bitdefender. А как вы считаете, какие антивирусы могут помочь компаниям защищать себя от шифровальщиков?
Ответ: Мы советуем ставить компаниям такие антивирусы как: Carbon Black, Cylance, Bit9. При одном виде таких АВ сразу делается вывод, что компания-проблемная и проще найти, что-то другое. То, что BitDefender никакой, а LockBit не разбирается-это факт.
Вопрос: Android ransomware в виде червя это миф или реальность?
Ответ: Может и реальность, но вряд ли прибыльная, по этому не знаем. Нас всегда интересовали корпоративные сети
Вопрос: Спокойные выходные у безопасников без шифровальщиков когда-нибудь настанут?
Ответ: Уже стали спокойнее, после нашего ухода останется всего несколько низкопрофессиональнных проектов вроде LockBit. Но это временное явление, учитывая последние геополитические события (передача информации между США и Россией).
Вопрос: Что важнее деньги или процесс?
Ответ: Процесс и деньги, а так же свобода.
Вопрос: Путь или результат?
Ответ: Путь, а потом результат. У всего есть конец.
Вопрос: Почему уходите?
Ответ: Уход связан с множеством негативных факторов которые скоро окончательно забьют последние гвозди в направление Ransomware. Мы предпочитаем уходить заранее и своим ходом, чем наслаждаться 20 лет окном в клетку.
По этому всем желаем мира и добра, без нас этот мир станет лучше
И передаем привет США, иногда планы не сбываются и все идет не так как вашей ********************и угодно, стоит к этому привыкнуть.Вот такое небольшое интервью получилось. Наступил ли закат для шифровальщиков покажет только время. На примере 3-х интервью с прямыми конкурентами REvil, LockBit и BlackMatter тема раскрыта более чем полностью, поэтому подобных интервью пока больше не будет. Выводы делайте самостоятельно.
• Source: Link hidden, please Sign in
• Source: Link hidden, please Sign in