كما أظهر تحليل فك التشفير الذي تستخدمه BlackMatter للملفات المشفرة ، فإن لديها الكثير من القواسم المشتركة مع DarkSide.
تشير خوارزميات التشفير المستخدمة في الأداة لفك تشفير الملفات المشفرة بواسطة مجموعة برامج الفدية الإلكترونية الناشئة حديثًا BlackMatter إلى أن BlackMatter هي نفس مجموعة مجرمي الإنترنت المثيرة DarkSide ، ولكن باسم مختلف.
بعد هجوم إلكتروني رفيع المستوى على خط أنابيب كولونيال ، أكبر مشغل لخطوط الأنابيب في الولايات المتحدة ، مما أدى إلى نقص في البنزين على طول الساحل الجنوبي الشرقي بأكمله للبلاد ، بدأت وكالات إنفاذ القانون في جميع أنحاء العالم ، وخاصة الأمريكية منها ، مطاردة حقيقية ل DarkSide. في شهر مايو من هذا العام، ومجموعة فجأة فقدت الوصول إلى خوادم وأصولها عملة معماة، التي استولى عليها مجهول الأشخاص ، واضطر لإنهاء عملياتها. كما أصبح معروفًا لاحقًا ، تمكن مكتب التحقيقات الفيدرالي من أخذ 63.7 بيتكوين من 75 بيتكوين التي دفعها خط أنابيب كولونيال للمبتزين لاستعادة الملفات من DarkSide.
دخلت مجموعة جديدة تسمى BlackMatter ساحة برامج الفدية الإلكترونية هذا الأسبوع ، معلنة في منتديات المتسللين أنها مستعدة لدفع ما يصل إلى 100000 دولار للوصول إلى شبكات الشركات للشركات الكبيرة. في الوقت نفسه ، تهتم فقط بالشركات التي يبلغ دخلها السنوي 100 مليون دولار أو أكثر.
وفقًا لـ BleepingComputer ، لدى BlackMatter بالفعل ضحية واحدة على الأقل دفعت 4 ملايين دولار فدية مقابل أجهزة فك التشفير لأجهزة Windows و Linux ESXi. تمكنت البوابة من الحصول على برنامج فك التشفير هذا ، والذي سلمته إلى خبير أمن المعلومات فابيان ووسار لتحليله.
وفقًا لـ Vosar ، تستخدم BlackMatter نفس طريقة التشفير الفريدة مثل DarkSide. عملية تشفير البيانات نفسها (على وجه الخصوص ، استخدام مصفوفة Salsa20 الحصرية لـ DarkSide) تتطابق عملية BlackMatter تقريبًا مع DarkSide.
في عملية تشفير البيانات باستخدام خوارزمية التشفير Salsa20 ، يوفر المطور مصفوفة أولية من ستة عشر كلمة 32 بت. كما أوضح فوسار ، بدلاً من السلاسل الثابتة والموضع والرقم العشوائي لمرة واحدة والمفتاح لكل ملف ، يملأ DarkSide كل كلمة ببيانات عشوائية. يتم بعد ذلك تشفير هذه المصفوفة باستخدام المفتاح العام RSA وتخزينها في رأس وتذييل الملف المشفر.
وفقًا لفوسار ، تم استخدام مصفوفة Salsa20 مسبقًا حصريًا من قبل فصيل DarkSide. بالإضافة إلى ذلك ، استخدم DarkSide تطبيق RSA-1024 فريدًا لفك تشفيره. يتم الآن استخدام تطبيق Salsa20 و RSA-1024 بواسطة كوكبة BlackMatter.
بالطبع ، لا يوجد دليل مائة بالمائة على أن BlackMatter هو الاسم الجديد لنفس DarkSide ، لكن عمليات كلتا المجموعتين تشترك في الكثير. تشير اللغة نفسها المستخدمة في المواقع ، ونفس محرك الاهتمام الإعلامي ، وموضوعات الألوان المماثلة لمواقع TOR ، إلى أن BlackMatter هي إعادة تسمية للعلامة التجارية DarkSide.
هناك حقيقة أخرى تشهد لصالح حقيقة أن BlackMatter و DarkSide هما نفس المجموعة وهي البيان العام الذي يرفض مهاجمة "صناعة النفط والغاز (خطوط أنابيب الوقود والمصافي)". بعد كل شيء ، كان الهجوم على خط الوقود هو الذي أدى إلى إغلاق عمليات DarkSide.
0 تعليقات