Gli organismi di sicurezza federali degli Stati Uniti hanno pubblicato un avviso congiunto rivolto agli esperti di sicurezza informatica, avvertendo dell'inevitabilità di una serie di nuovi attacchi ransomware da parte del gruppo di hacker BlackMatter, anch'esso nato dalle ceneri del famigerato DarkSide. La Cybersecurity and Infrastructure Security Agency (CISA), il Federal Bureau of Investigation (FBI) e la National Security Agency (NSA) sono le tre agenzie coinvolte in questa consulenza congiunta, che segue mesi di scrutinio e indagini sul gruppo di hacker. Le agenzie considerano i segnali di attività imminenti abbastanza forti da aver sentito il bisogno di raccomandare alle aziende di rafforzare le loro difese di sicurezza informatica, in particolare quelle legate alle credenziali degli utenti, alla sicurezza delle password e all'autenticazione a più fattori (MFA).
BlackMatter è il risultato di un raggruppamento di membri precedentemente coinvolti con DarkSide, il famigerato team di hacker che ha chiuso le operazioni nel maggio di quest'anno. BlackMatter, come il gruppo di hacker Desorden (che ha recentemente preso di mira Acer), sembra favorire gli attacchi alle aziende più importanti nelle catene di approvvigionamento, intensificando le ripercussioni e il caos attraverso più endpoint. Da quando ha iniziato a operare con il nuovo nome, BlackMatter ha già attaccato numerose organizzazioni di infrastrutture critiche statunitensi, tra cui due cooperative del settore alimentare e agricolo, nonché società private come Olympus.
Poiché è diventata sempre più una tendenza sin dal loro lancio, le criptovalute fanno parte del flusso di lavoro del ransomware: "Gli attacchi ransomware contro entità di infrastrutture critiche potrebbero influenzare direttamente l'accesso dei consumatori ai loro servizi", si legge nell'avviso. "I componenti di BlackMatter hanno attaccato numerose organizzazioni con sede negli Stati Uniti e hanno chiesto il pagamento di riscatti che vanno da 80.000 a 15.000.000 dollari in Bitcoin e Monero”.
Il documento approfondisce ulteriormente i dettagli sull'operatività del ransomware di BlackMatter, da cui sono derivate le considerazioni sulla sicurezza informatica per potenziali obiettivi. Distribuendo un campione del ransomware di BlackMatter in un ambiente investigativo sicuro, le agenzie sottolineano la raffinatezza del suo approccio, che consente di attaccare sia gli ambienti Windows e Linux, nonché le macchine virtuali basate su ESXi, coprendo efficacemente tutti i sistemi di sicurezza. L'avviso congiunto mette in luce anche l'approccio distruttivo adottato da BlackMatter per garantire il massimo impatto del proprio ransomware: "Piuttosto che crittografare i sistemi di backup, BlackMatter cancella o riformatta tutti i dispositivi"
I suggerimenti per mitigare le vulnerabilità includono la segmentazione delle reti (invece dell'approccio di rete centralizzato che è stato storicamente favorito per facilità d'uso e capacità di controllo), nonché l'uso di strumenti di monitoraggio della rete in modo da identificare la presenza del ransomware. Le agenzie hanno inoltre fornito firme di rilevamento per BlackMatter in modo che gli specialisti della sicurezza informatica possano indagare preventivamente sui sistemi gestiti.