Af Eskil Sørensen, 02/08/21
Den berygtede ramsomwaregruppe, DarkSide, er tilbage. Dette konstaterer Bleeping Computer i en artikel i sidste uge efter at have fået adgang til en dekrypteringsalgoritme fra et offer for ransomware fra en gruppe ved navn BlackMatter og fået det analyseret af en sikkerhedsekspert.
Denne slår fast, at der er så mange ligheder mellem de af DarkSide anvendte krypteringsrutiner og BlackMatters, at det må have samme oprindelse.
DarkSide, der var ansvarlog for angrebet på Colonial Pipeline i USA, forsvandt ellers pludselig i maj i år, efter gruppen tilsyneladende mistede kontrollen med sine servere, og kryptovaluta blev beslaglagt. Hvilket fik iagttagere til at spekulere i, at russiske myndigheder havde sørget for lukningen efter pres fra USA.
Genopstået
Ifølge Bleeping Computer har dette tilsyneladende ikke været nok, eftersom gruppen i sidste uge begyndte at operere under navnet BlackMatter. Gruppen angriber aktivt ofre og køber netværksadgang fra andre trusselsaktører for at iværksætte nye angreb.
Bleeping Computer skriver, at flere ofre allerede er blevet angrebet og mødt af krav om løsesum på 3 til 4 millioner dollars. Og et offer har allerede betalt en løsesum på 4 millioner dollar til BlackMatter for at få slettet stjålne data og modtage både Windows og Linux ESXi dekrypteringsprogrammer.
Det er dette, som er blevet undersøgt af en ekspert, og som har så mange ligheder med DarkSides metoder, at gruppen anses for at være tilbage – altså under det nye navn BlackMatter.