นักวิจัยด้านภัยคุกคามของ Group-IB, Andrei Zhdanov ได้กล่าวในรายงานว่า BlackMatter ได้ปรากฎตัวครั้งแรกเมื่อเดือนกรกฎาคม 2564 ด้วยการผสมผสานคุณสมบัติที่ดีที่สุดของ Ransomware ตัวอื่น ๆ เช่น DarkSide, REvil และ LockBit เข้าด้วยกัน และถือว่าเป็นผู้ดำเนินการต่อจาก DarkSide ซึ่งได้ปิดตัวลงพร้อมกับ REvil หลังจากที่ถูกอเมริกาและหลาย ๆ ประเทศบังคับใช้กฎหมาย โดย BlackMatter เป็น ransomware-as-a-service (RaaS) ที่ได้มีการโจมตีบริษัทไปมากกว่า 50 แห่งในอเมริกา ออสเตรีย อิตาลี ฝรั่งเศส บราซิล และอื่น ๆ รวมถึงบริษัทไอทีชั้นนำในประเทศไทยและบริษัทอื่น ๆ ในไทยอีกด้วย
นอกจากนี้นักวิจัยยังได้พบว่ากลุ่มดังกล่าวมีการเปลี่ยนแปลงการใช้งานอัลกอริทึมการเข้ารหัส ChaCha20 ที่ใช้งานการเข้ารหัสเนื้อหาของไฟล์ด้วย
และยิ่งไปกว่านั้น ผู้โจมตียังได้สร้าง TOR chat room สำหรับสื่อสารกับเหยื่อแต่ละราย ที่ได้ส่งเป็น Link แนบไปกับไฟล์ข้อความเรียกค่าไถ่ และ BlackMatter นั้นยังเป็นที่รู้จักกันในเรื่องการเพิ่มเงินค่าไถ่เป็น 2 เท่า หากเหยื่อไม่ยอมจ่ายเงิน
ตามที่นักวิจัยด้านความปลอดภัยจากหน่วยต่อต้าน Ransomware ของ Microsoft ได้ระบุว่า DarkSide และการเปลี่ยนแปลงของ BlackMatter เป็นฝีมือของกลุ่มแฮกเกอร์ที่ชื่อว่า FIN7 และได้เปิดเผยว่ามีบริษัทชื่อ Bastion Secure หลอกล่อผู้เชี่ยวชาญด้านเทคโนโลยีโดยมีเป้าหมายในการเปิดตัวจากการโจมตี Ransomware
แต่ว่ายังไม่ชัดเจนเท่าไรเกี่ยวกับคำว่า “latest news” ว่ามันหมายถึงอะไร แต่บ่งบอกถึงการเชื่อมโยงไปยังปฏิบัติการบังคับใช้กฎหมายระหว่างประเทศที่ประสานงานกันเมื่อปลายเดือนที่แล้ว ซึ่งได้จับกุมผู้กระทำผิด 12 รายในข้อหาเตรียมการโจมตี Ransomware กับเหยื่อกว่า 1800 ราย ใน 71 ประเทศตั้งแต่ปี 2562
และทาง CISA, FBI และ NSA ได้ออกมาเตือนเมื่อวันที่ 18 ตุลาคม 2564 ที่ผ่านมานี้ว่ากลุ่ม BlackMatter Ransomware มีเป้าหมายเป็นหลาย ๆ องค์กร ที่มีโครงสร้างพื้นฐานที่สำคัญ ซึ่งรวมถึงสองหน่วยงานในภาคอาหารและเกษตรของสหรัฐฯ
ที่มา: thehackernews