Catatan Redaksi:

Baru muncul pada bulan Juli 2021, grup ransomware BlackMatter tiba-tiba mengumumkan segera berhenti beroperasi. Meski tak tertutup kemungkinan mereka akan muncul dengan nama baru, namun pengumuman itu cukup mengejutkan para pakar keamanan siber mengingat usianya yang baru 3 bulan.

Ketika muncul pada bulan Juli lalu, mereka mengumumkan di berbagai forum kejahatan dunia maya bahwa mereka menggabungkan fitur kelompok terkenal sebelumnya yang juga telah berhenti beroperasi seperti REvil dan DarkSide. Beberapa pengamat, termasuk lembaga keamanan siber Amerika Serikat CISA,  meyakini BlackMatter adalah reinkarnasi dari Revil dan DarkSide yang tutup setelah anggotanya terjaring operasi penegak hukum lintas negara.

BlackMatter secara khusus mengatakan tertarik menargetkan perusahaan besar dengan pendapatan tahunan lebih dari $100 juta. Namun, kelompok itu membuat pengecualian seperti: Tidak akan memeras perawatan kesehatan, infrastruktur penting, minyak dan gas, pertahanan, nirlaba, dan organisasi pemerintah.

Seorang perwakilan BlackMatter berbicara dengan analis intelijen ancaman ahli Recorded Future Dmitry Smilyanets baru-baru ini tentang bagaimana BlackMatter belajar dari kesalahan kelompok ransomware lain, apa yang mereka cari saat merekrut mitra, dan mengapa mereka menghindari target tertentu.

Wawancara dilakukan awal Agustus dalam bahasa Rusia dan diterjemahkan ke bahasa Inggris.  Cyberthreat.id menayangkan kembali versi terjemahan dari wawancara tersebut untuk memberi gambaran seperti apa pola kerja kelompok ransomware ini.
 

Dmitry Smilyanets (DS): Produk Anda muncul baru-baru ini dan sejauh yang kami tahu, belum ada serangan publik menggunakan BlackMatter. Sejak kapan Anda mulai mengembangkannya?

BlackMatter (BM): Belum ada serangan apa pun jika Anda menilai dari blog publik. Sebenarnya, sudah ada, dan perusahaan yang kami serang sudah berkomunikasi dengan kami. Selama negosiasi berhasil, kami tidak mempublikasikan posting blog di halaman utama blog.

Produk tersebut telah dikembangkan selama enam bulan terakhir. Mungkin kelihatannya sederhana (dilihat dari blog atau halaman komunikasi), tetapi tidak— apa yang dilihat pengguna secara publik adalah puncak gunung es.

Sebelum memulai proyek, kami mempelajari produk berikut secara rinci:

LockBit memiliki basis kode yang bagus, tetapi panel yang minim dan tidak berfungsi (pada saat kami menggunakan produk mereka). Jika Anda membandingkannya dengan sebuah mobil, Anda dapat mengatakan bahwa ini adalah lini produksi mobil Jepang dengan mesin yang bagus tetapi interior yang kosong dan tidak berfungsi. Anda bisa mengendarainya, tetapi dengan sedikit kesenangan.

REvil adalah proyek yang bagus secara keseluruhan, perangkat lunak yang telah teruji waktu (sejak GandCrab, mereka tidak melakukan pengeditan signifikan sejak saat itu), panel yang cukup fungsional, tetapi lebih fokus pada jumlah keseluruhan "pemuatan" yang berhasil dibandingkan dengan kriptografi target tertentu.

Darkside adalah perangkat lunak yang relatif baru dengan basis kode yang baik (sebagian bermasalah, tetapi gagasan itu sendiri patut diperhatikan) dan komponen web yang menarik dibandingkan dengan RaaS lainnya.

Eksekusi itu sendiri telah memasukkan ide-ide LockBit, REvil, dan sebagian DarkSide. Komponen web telah memasukkan pendekatan teknis DarkSide karena kami menganggapnya paling benar secara struktural (perusahaan terpisah untuk setiap target, dan seterusnya).

DS: Seberapa sulit untuk mengatur program afiliasi (juga dikenal sebagai ransomware-as-a-service)?

BM: Secara keseluruhan, kurang sulit daripada tidak. Levelnya penting, RaaS juga bisa offline (ketika build dikeluarkan melalui jabber/tox), tetapi tidak ada permintaan pasar untuk ini dan pelanggan saat ini, setelah menggunakan REvil dan DarkSide, tidak siap untuk mengambil program afiliasi seperti itu dengan serius. Kami membuat proyek dan membawanya ke pasar tepat pada saat ceruk kosong dan proyek sepenuhnya memenuhi permintaan pasar, oleh karena itu keberhasilannya tidak dapat dihindari.

DS: Baru-baru ini, grup terbesar—DarkSide, REvil, Avaddon, BABUK—telah menghilang dari panggung. Banyak peneliti percaya bahwa ini disebabkan oleh perhatian para pemimpin tertinggi Amerika Serikat dan Rusia terhadap ganasnya serangan ransomware. Apakah itu benar? Apakah Anda pikir produk Anda akan memiliki nasib yang sama?

BM: Ya, kami percaya bahwa sebagian besar keluarnya mereka dari pasar dikaitkan dengan situasi geopolitik di panggung dunia. Pertama-tama, ini adalah ketakutan Amerika Serikat dan perencanaan operasi siber ofensifnya, serta kelompok kerja bilateral untuk pemerasan siber.

Kami memantau situasi politik, serta menerima informasi dari sumber lain. Saat merancang infrastruktur kami, kami memperhitungkan semua faktor ini dan kami dapat mengatakan bahwa kami dapat menahan kemampuan siber ofensif Amerika Serikat. Untuk berapa lama? Waktu akan menjawab. Untuk saat ini, kami fokus pada pekerjaan jangka panjang. Kami juga memoderasi target dan tidak akan mengizinkan proyek kami digunakan untuk mengenkripsi infrastruktur penting, yang akan menarik perhatian yang tidak diinginkan kepada kami. (Ingat, wawancara ini berlangsung awal Agustus lalu, sekitar sebulan setelah kemunculannya).

DS: Anda menyebutkan bahwa produk Anda menyatukan yang terbaik dari DarkSide, REvil, dan LockBit. Apa kekuatan mereka?

BM: Proyek kami telah menggabungkan kekuatan dari masing-masing program mitra:

Dari REvil—SafeMode, implementasinya lemah dan tidak dipikirkan dengan matang, kami mengembangkan ide dan mengimplementasikannya secara menyeluruh. Kami juga mengimplementasikan versi PowerShell dari varian ransomware dengan implementasi REvil.

Dari LockBit—sebuah pendekatan untuk implementasi basis kode, kami mengambil beberapa hal dari sana, sebagian besar hal-hal kecil.

Dari DarkSide—pertama-tama, ini adalah ide peniruan identitas (kemampuan encryptor untuk menggunakan akun administrator domain untuk mengenkripsi drive bersama dengan hak maksimum), kami juga meminjam struktur panel admin dari sana.
 

DS: Berdasarkan laporan terbaru yang diterbitkan minggu ini, BlackMatter secara visual sangat mirip dengan DarkSide. Bisakah Anda mengonfirmasi bahwa infrastruktur Anda didasarkan pada DarkSide?

BM: Kami dapat dengan yakin mengatakan bahwa kami adalah penggemar mode gelap dalam desain, kami akrab dengan tim DarkSide dari bekerja bersama di masa lalu tetapi kami bukan mereka, meskipun kami akrab dengan ide-ide mereka.
 

DS: LockBit 2.0 dianggap sebagai loker tercepat saat ini. Berapa kecepatan enkripsi/dekripsi varian Anda?

BM: Ini tidak benar. Setelah membaca pertanyaan – kami memutuskan untuk mempersiapkan diri dengan mengunduh versi LockBit terbaru yang tersedia untuk umum (akhir 06.21) dan melakukan pengujian, kami dapat menyatakan sebagai berikut:

Materi Hitam: 2.22

LockBit: 02.59

Pengujian dilakukan dalam kondisi yang sama. Selain itu, LockBit mengenkripsi 256 kb pertama dari file (yang cukup buruk dari sudut pandang kekuatan kriptografi). Kami, di sisi lain, mengenkripsi 1 MB. Pada dasarnya, itulah rahasia kecepatan mereka.

DS: Apakah Anda berencana untuk menambahkan fitur baru ke produk, mengikuti contoh StealBit?

BM: Ya, perangkat lunak terus ditingkatkan, dalam hal fungsi baru yang akan muncul dalam waktu dekat—mencetak teks catatan pada semua printer yang tersedia. Kami juga memperhatikan pesaing kami dan selalu menerapkan apa yang kami anggap menjanjikan dan diminati oleh klien kami.
 

DS: Saya telah melihat beberapa pengumuman perekrutan untuk tim Anda. Berapa banyak penguji penetrasi yang ingin Anda rekrut? Apakah lebih mudah bekerja dengan tim kecil tapi kuat, atau dengan pasukan anak-anak skrip?

BM: Kami diarahkan pada tim yang kuat dan mandiri dengan pengalaman, solusi teknis mereka sendiri, dan keinginan nyata untuk menghasilkan uang, bukan seseorang yang ingin mencoba bisnis. Kami biasanya menyaring script kiddies sebelum mereka mendapatkan akses ke panel admin kami.
 

DS: Jelas, ada banyak profesional berbakat di tim Anda. Mengapa bakat ini ditujukan untuk kegiatan yang merusak? Sudahkah Anda mencoba pengujian penetrasi legal?

BM: Kami tidak menyangkal bahwa bisnis itu destruktif, tetapi jika kita melihat lebih dalam—sebagai akibat dari masalah ini, teknologi baru dikembangkan dan diciptakan. Jika semuanya baik di mana-mana, tidak akan ada ruang untuk perkembangan baru.

Ada satu kehidupan dan kami mengambil semuanya darinya, bisnis kami tidak merugikan individu dan hanya ditujukan untuk perusahaan, dan perusahaan selalu memiliki kemampuan untuk membayar dana dan memulihkan semua datanya.

Kami tidak terlibat dalam pentesting hukum dan kami percaya bahwa ini tidak dapat memberikan imbalan materi yang layak.
 

DS: Apa pendapat Anda tentang serangan yang dilakukan terhadap infrastruktur Colonial Pipeline atau JBS? Apakah masuk akal untuk menyerang jaringan sebesar itu?

BM: Kami pikir ini adalah faktor kunci untuk penutupan REvil dan DarkSide, kami telah melarang jenis penargetan itu dan kami melihat tidak ada gunanya menyerang mereka.
 

DS: Departemen Kehakiman AS mengatakan mereka dapat memulihkan beberapa bitcoin yang dibayarkan oleh Colonial Pipelines. Bagaimana menurut Anda ini telah terjadi?

BM: Kami pikir tim DarkSide atau mitra mereka mentransfer bitcoin ke dompet web, yang menyebabkan penyitaan private key
 

DS: Anda secara aktif membeli akses ke jaringan dan menyatakan bahwa Anda TIDAK tertarik pada lembaga pemerintah dan medis. Pada saat yang sama, Anda menyatakan bahwa Anda tidak akan mengenkripsi lebih banyak industri, termasuk infrastruktur penting, pertahanan, nirlaba, dan minyak. Siapa yang memiliki kata terakhir untuk mengenkripsi jaringan atau tidak?

BM: Kata terakhir adalah milik kita. Kami memeriksa setiap target dan memutuskan apakah itu memiliki potensi konsekuensi negatif bagi kami. Perbedaan antara industri di blog dan di forum terkait dengan pemasaran. Dalam korespondensi pribadi, kami menyaring yang tidak kami minati.
 

DS: Jenis akses jaringan primer apa yang paling mudah di tahun 2021 menurut Anda?

BM: Kami tidak bekerja dengan VPN dan jenis akses awal lainnya yang memakan waktu tetapi berfokus untuk mendapatkan akses langsung ke jaringan dengan segera.
 

DS: Apa yang lebih berpengaruh dalam memotivasi perusahaan untuk membayar: Infrastruktur tidak tersedia, atau ketakutan akan kebocoran data?

BM: Ini bervariasi dari perusahaan ke perusahaan. Bagi beberapa orang penting untuk menjaga kerahasiaan, dan bagi yang lain itu memulihkan infrastruktur. Jika jaringan sepenuhnya dienkripsi dan ada juga risiko data dipublikasikan, kemungkinan besar perusahaan akan membayar.
 

DS: Unknown (salah satu operator REvil) berbicara tentang pandangan khusus terhadap perusahaan asuransi. Apakah Anda berpikir bahwa jika perusahaan asuransi tiba-tiba berhenti menutupi insiden ransomware, itu akan mengubah minat Anda pada ransomware?

BM: Itu tidak akan berubah, perusahaan akan terus membayar uang. Ada kemungkinan bahwa jumlah yang dibayarkan akan berkurang.

Sekarang biaya asuransi telah meningkat, tetapi takut bahwa mereka akan ditinggalkan sendirian dalam situasi ini semua orang akan terus membeli asuransi.

DS: Ada apa dengan Unknown? (Dia menghilang). Ada banyak rumor, dapatkah Anda menjelaskan situasinya?

BM: Kami tidak tahu. Kemungkinan besar, setelah pembayaran terakhir, dia pergi berlibur atau sedang mempersiapkan rebranding proyek mereka.

DS: Ceritakan sebuah rahasia.

BM: Tidak ada rahasia, tetapi kami percaya pada tanah air kami, kami mencintai keluarga kami, dan kami menghasilkan uang untuk anak-anak kami. []