La aparición de un nuevo grupo de ciberdelincuentes como BlackMatter es, siempre, una mala noticia. Independientemente de su escala, de lo sofisticado de sus herramientas y del daño que sean capaces de infligir. Su simple existencia ya es un problema y, por lo tanto, algo que hay que lamentar y, sobre todo, algo a lo que hay que enfrentarse. Ahora bien, las malas noticias también permiten grados, y en base a algunos indicios, puede que la aparición de BlackMatter, justo en este momento, sea todavía peor de lo que podíamos pensar en un primer momento.
Y es que, según podemos leer en Security Affairs, BlackMatter, un grupo recién aparecido y dedicado al ransomware que, de momento, pulula por la darkweb en busca y captura de afiliados para iniciar sus operaciones, además de haber puesto en funcionamiento su web de información sobre sus acciones, tiene algunos elementos que invitan a sospechar que, en realidad, nos encontramos ante un rebranding de una organización que se sabía, desde hace ya algún tiempo, en múltiples puntos de mira.
Hablamos de organizaciones ilegales, claro, por lo que no tenemos certeza de ello. A diferencia de las entidades legales, que cuando realizan un rebranding organizan grandes campañas de comunicación para que toda la población tenga conocimiento del cambio, casos como el de este probable cambio de REvil a BlackMatter se intentan camuflar, y la clave está en analizar todos los datos disponibles en busca y captura de elementos coincidentes, que apunten en esa dirección.
Y en este caso, pese a que apenas hace una semana que BlackMatter ha empezado a dar señales de vida, ya han aparecido algunos elementos que permiten establecer una hipotética relación entre este nuevo grupo y REvil. Y un punto muy llamativo de dicha lista es que una clave que Sodinokibi dejaba en el registro de configuraciones del sistema era BlackLivesMatter. Es cierto que se trata de una frase muy repetida estos tiempos, pero llama la atención la coincidencia, que además no es la única.
En los mensajes que han publicado los responsables de BlackMatter en la darkweb, también se ven coincidencias tanto en la manera de proceder (países de las empresas a las que atacar, rangos económicos, sectores excluídos, etcétera). Un conjunto de coincidencias que, claro, debemos contemplar que se producen justo cuando ha tenido lugar la desaparición de REvil.
¿Significa esto que BlackMatter es REvil? No, y esto hay que dejarlo muy claro. Hablamos de señales, de indicios, que pueden ser interpretados en este sentido, y de que es razonable hacerlo. Y es que no parece fruto de la coincidencia (especialmente lo referido al nombre) pero, ahora bien, esta no sería la única explicación. También puede tratarse de un grupo oportunista que, ante la desaparición de REvil, ha decidido intentar generar precisamente esta sensación.
La clave será esperar hasta que BlackMatter de sus primeros golpes (aunque esperemos que nunca lleguen a este punto, claro), y que los expertos puedan valorar técnicamente sus ataques, para buscar similitudes con el modus operandi de REvil. Seguramente entonces, y solo entonces, tendremos señales más claras en uno u otro sentido.
La entrada BlackMatter: ¿la nueva cara de REvil? es original de MuySeguridad. Seguridad informática.