前言

BlackMatter勒索病毒是一款基于RAAS模式的新型勒索病毒，该勒索病毒组织成立于2021年7月，该勒索病毒黑客组织对外宣称，已经整合了DarkSide、REvil和LockBit等勒索病毒的最佳功能特点。

勒索病毒黑客组织曾表示不会对医疗保健、关键基础设施、石油和天然气、国防、非营利组织和政府进行攻击，该勒索病毒初期通过Exploit和XSS等黑客论坛进行宣传和招募合作伙伴及会员，BlackMatter是Exploit论坛的成员，也可能是BlackMatter勒索病毒的运营商，此前该勒索在论坛上宣传购买美国、加拿大、澳大利亚和英国的企业网络访问权限，并且对目标有以下要求：

1.收入超过1亿美元

2.网络中有500-15000台主机

BlackMatter提供3000到100000美元范围的网络访问价格，以及潜在赎金金额的份额,该勒索病毒黑客组织在Exploit论坛上存有4个比特币(110000美元)。

该新型BlackMatter勒索病毒适用于多种不同的操作系统版本和架构，并以多种格式提供，包括支持安全模式的Windows变种(EXE/反射DLL/PowerShell)和支持NAS平台的各种Linux变种，同时Windows版本的勒索病毒变种已经在Windows Server2003+ x86/x64和Windows 7+ x64/x86上成功测试，Linux版本的勒索病毒变种已经在ESXI 5+、Ubuntu、Debian和CentOS上成功测试，Linux支持的文件系统包括VMFS、VFFS、NFS、VSAN。

参考链接：

https://www.bleepingcomputer.com/news/security/blackmatter-ransomware-gang-rises-from-the-ashes-of-darkside-revil/

分析

2021年8月1日，笔者在某免费的恶意软件沙箱分享平台上监控发现了这款勒索病毒的样本，并对这款勒索病毒进行了分析和研究。(笔者是一个闲不住的人，如果全年按365天算，基本上365天每天都会与各种恶意软件打交道，一天不关注样本，研究样本，追踪黑客攻击事件，就会感觉全身不舒服，笔者分析和研究过的各种恶意软件家族样本，可能自己都数不清了，也许这就是一种对安全事业简单的热爱吧)

样本运行之后，加密后的文件，如下所示：

生成的勒索提示信息文件内容，如下所示：

勒索病毒还会修改桌面的背景，如下所示：

勒索病毒提示的解密网站，如下所示：

登录进去之后，如下所示：

发现受害者企业与勒索病毒黑客组织在进行赎金交易谈判，勒索赎金高达300万美元，如果过了支付期限，赎金会翻倍成600万美元，同时该勒索病毒也提供了一个专用的网站，用于存放受害者企业的文件信息，如下所示：

对样本进行逆向分析，所有的关键函数都是采用动态调用的方式，与LockBit勒索病毒类似，如下所示：

调用过程，如下所示：

获取受害者主机信息，如下所示：

获取受害者主机BOT信息，如下所示：

通过分析可以发现这款新型勒索病毒的功能确实在一些行为特征和代码特征等方面借鉴了此前DarkSide、REvil和LockBit等勒索病毒家族的相关功能特点，同时这款新型的勒索病毒相比之前出现的Hive勒索病毒，行动也是非常之快，黑客组织在7月21日，在Exploit和XSS等黑客论坛发布相关的招募信息，只寻找和攻击收入超过 1 亿美元的公司，如下所示：

该样本的编译时间为2021年7月24日，如下所示：

然后在2021年8月1日，马上就有企业中招了，可见该勒索病毒黑客组织非常“积极”，从在黑客论坛发布相关的招募信息开始，不到二个星期就有了受害者，而且勒索的金额也是相当高，勒索受害者300/600万美元。

目前这款勒索病毒主要在购买美国、加拿大、澳大利亚和英国的企业网络访问权限，后面国内会不会有企业中招，需要持续关注。

总结

笔者一直在跟踪和研究最新的一些恶意软件家族和黑客攻击活动，发现一些勒索病毒黑客组织使用的攻击手法越来越多，越来越复杂，又有很多新型的勒索病毒黑客组织出现，这些勒索病毒黑客组织开始联盟，采用集团化的操作方式，共享企业的网络访问数据，以及勒索病毒代码，攻击手法等，同时APT攻击技术被广泛应用到了勒索攻击当中，通过监控最近已经有几款新型的勒索病毒出现，包含BlackMatter在内的，还有Hive勒索病毒，Haron勒索病毒等，新型的勒索病毒不断涌现，旧的勒索病毒家族也在不断的变种，可以说勒索攻击真的是越来越多了，未来几年勒索病毒仍然是全球网络安全最大的威胁。