blackmatter - RunkIntel

# BlackMatter > [!danger] BlackMatter - Sucessor do DarkSide, Retornou em 2026 com Ataques a Hospitais > **BlackMatter** é um grupo de ransomware-as-a-service (RaaS) russo que operou de julho a novembro de 2021, alvo principal de alerta conjunto do CISA/FBI/NSA. Declarado como sucessor direto do [[darkside|DarkSide]] e [[s0496-revil|REvil]], o grupo apresentou técnicas avançadas, cifragem Salsa20+RSA-1024, e atacou infraestrutura crítica americana. Ressurgiu em 2026 como **BlackMatter 2.0**, com campanhas contra hospitais no Reino Unido. ## Visão Geral **BlackMatter** surgiu em julho de 2021, poucos meses após o desmantelamento aparente do [[darkside|DarkSide]] (responsável pelo ataque à Colonial Pipeline) e da suspensão do [[s0496-revil|REvil]]. O grupo recrutou abertamente afiliados, anunciando em fóruns underground que estava procurando acesso a redes corporativas com faturamento acima de $100 milhões e mais de 500 hosts. O modelo operacional do BlackMatter era puro RaaS: o grupo desenvolveu e manteve o ransomware (código em C, eficiente e polimórfico), enquanto afiliados conduziam as intrusões. O CISA emitiu advisory conjunto com FBI e NSA (AA21-291A) em outubro de 2021, após ataques confirmados contra infraestrutura crítica americana - especialmente o setor de alimentos e agricultura, que opera em ciclos sazonais e não pode permitir downtime. **Características técnicas distintivas:** - **Cifra híbrida robusta**: Salsa20 para dados + RSA-1024 para proteção da chave - nenhuma fraqueza de implementação foi encontrada durante a operação ativa - **Wipagem de backups**: ao contrário de grupos que apenas criptografam, o BlackMatter apagava ativamente backups antes de criptografar - eliminando a principal rota de recuperação - **Exclusões estratégicas**: o grupo declarou não atacar hospitais, infraestrutura nuclear, oleodutos, setor de defesa ou governo - mas violou essa promessa em múltiplas ocasiões - **Demandas escalonadas**: $80.000 a $15 milhões em Bitcoin ou Monero dependendo do porte da vítima - **Velocidade de cifragem**: o ransomware priorizava arquivos por extensão e tamanho, otimizando a velocidade de impacto O grupo encerrou operações em novembro de 2021, alegando "pressão das autoridades" - poucos meses após o FBI confiscar $2,3 milhões em BTC pago pelo ataque à Colonial Pipeline. Ressurgiu em **2026 como BlackMatter 2.0**, reportado em ataques contra hospitais do NHS no Reino Unido, indicando reativação de infraestrutura ou herdeiros do grupo original. ## Campanhas Documentadas ### Infraestrutura Crítica EUA - Julho a Novembro 2021 Campanha principal documentada no advisory CISA AA21-291A: - Ataques confirmados contra **cooperativas agrícolas americanas** durante o período de colheita - timing deliberado para maximizar pressão de pagamento - **NEW Cooperative (Iowa)**: cooperativa de milho e sojá atacada em setembro de 2021; demanda de $5,9 milhões; a NEW Cooperative recusou pagar alegando ser infraestrutura crítica - BlackMatter negou a classificação - **Crystal Valley Cooperative (Minnesota)**: ataque em setembro 2021, operações interrompidas durante período crítico de colheita de outono - **Múltiplos alvos industriais** não divulgados públicamente em manufatura, energia e tecnologia nos EUA e Europa - Demandas médias: $5-15 milhões para empresas grandes; $80K-500K para médias ### BlackMatter 2.0 - 2026 Ressurgimento reportado em início de 2026: - Ataques contra hospitais do NHS no Reino Unido - quebrando a política declarada de não atacar saúde - Reutilização de infraestrutura do grupo original ou operação de afiliados com o código/branding - NCSC UK emitiu alertas para o setor de saúde britânico ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | BlackMatter Ransomware | Ransomware (RaaS) | Cifragem Salsa20+RSA-1024, exfiltração antes de cifrar, wipagem de VSS | | [[mimikatz\|Mimikatz]] | Credential Dumping | Extração de credenciais LSASS para movimento lateral | | [[s0154-cobalt-strike\|Cobalt Strike]] | C2 Framework | Pós-comprometimento, movimento lateral, reconhecimento | | ExMatter | Exfiltrador | Ferramenta customizada de exfiltração usada antes da cifragem | ## Attack Flow ```mermaid graph TB A["Acesso Inicial Phishing / VPN comprometida T1566.001 - T1133"] --> B["Reconhecimento Interno Mimikatz / LSASS dump T1003.001 - T1018 - T1057"] B --> C["Movimento Lateral RDP / SMB / PsExec T1021 - Valid Accounts T1078"] C --> D["Exfiltração de Dados ExMatter para storage externo T1567 - antes de cifrar"] D --> E["Wipagem de Backups VSS delete / backup tools T1490 - elimina recuperação"] E --> F["Cifragem Massiva Salsa20 + RSA-1024 T1486 - impacto total"] F --> G["Extorsão Dupla Pagamento via BTC/Monero Ameaça de vazamento em portal"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#7b241c,color:#fff style D fill:#196f3d,color:#fff style E fill:#c0392b,color:#fff style F fill:#922b21,color:#fff style G fill:#6c3483,color:#fff ``` ## Timeline ```mermaid timeline title BlackMatter - Linha do Tempo 2021-05 : DarkSide ataca Colonial Pipeline : FBI/DOJ confisca $2,3M BTC pago 2021-07 : BlackMatter surge em fóruns underground : Recrutamento aberto de afiliados 2021-09 : Ataques a cooperativas agricolas EUA : NEW Cooperative e Crystal Valley atingidas 2021-10 : CISA/FBI/NSA publicam advisory AA21-291A : Alerta nacional para infraestrutura critica 2021-11 : BlackMatter anuncia encerramento : Alegada pressao de autoridades 2022-01 : Membros do REvil presos na Russia : Pressao regional sobre grupos RaaS 2026 : BlackMatter 2.0 ressurge : Ataques a hospitais NHS no Reino Unido ``` ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|----|-----------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos maliciosos como vetor inicial de acesso | | Initial Access | External Remote Services | [[t1133-external-remote-services\|T1133]] | Exploração de VPNs e serviços RDP expostos | | Credential Access | LSASS Memory | [[t1003-001-lsass-memory\|T1003.001]] | Dump de credenciais via Mimikatz para movimento lateral | | Lateral Movement | Remote Services | [[t1021-remote-services\|T1021]] | RDP, SMB e PsExec para expansão na rede | | Collection | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Uso de credenciais legítimas para movimentação furtiva | | Exfiltration | Exfiltration to Cloud | [[t1567-exfiltration-over-web-service\|T1567]] | ExMatter exfiltra dados antes da cifragem - extorsão dupla | | Impact | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Deleção de Shadow Copies e backups antes de cifrar | | Impact | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Cifragem Salsa20+RSA-1024 de arquivos corporativos | ## Relevância para o Brasil e LATAM > [!warning] Risco para Agronegócio e Infraestrutura Crítica Brasileira > O Brasil é o maior exportador mundial de sojá, açúcar, frango e carne bovina - o exato perfil de vítimas que o BlackMatter escolhe em períodos de colheita e exportação. Cooperativas agropecuárias, tradings como **Cargill, ADM, Bunge e Louis Dreyfus** com operações no Brasil, e frigoríficos como **JBS e Marfrig** já demonstraram vulnerabilidade a ransomware (JBS pagou $11M ao REvil em 2021). Um ataque BlackMatter 2.0 durante safra de sojá ou cana teria impacto similar ao sofrido pelas cooperativas americanas. **Setores de risco prioritário:** - **Agronegócio**: cooperativas, tradings e frigoríficos dependem de sistemas interconectados de logística e rastreabilidade - **Saúde**: BlackMatter 2.0 demonstrou disposição para atacar hospitais - hospitais brasileiros já foram alvos de Cl0p e LockBit - **Manufatura**: fábricas com OT/SCADA são alvos frequentes de variantes que infectam Windows embarcado - **Energia**: distribuidoras e geradores com sistemas SCADA legados são vetores documentados **Medidas preventivas imediatas:** - Inventariar e proteger VPNs corporativas com MFA obrigatório (vetor principal do BlackMatter) - Implementar backups offline/imutáveis com testes regulares de restauração - Monitorar deleção de Shadow Copies (evento Windows 4688 com `vssadmin.exe delete shadows`) ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | `vssadmin.exe delete shadows /all /quiet` | EDR: alert para execução de deleção de VSS - precede cifragem em minutos | | Processo `mimikatz.exe` ou `sekurlsa::logonpasswords` em logs | SIEM: Sigma rule para dump de LSASS | | RDP lateral de servidor para servidor em horário incomum | NDR: análise de tráfego RDP interno fora do horário comercial | | Upload em massa para Mega.io ou similar antes da cifragem | DLP: alertas para transferência de grande volume de dados para nuvem externa | | Arquivos `.blackmatter` ou extensão randomizada em diretórios compartilhados | FIM: monitoramento de integridade de arquivos em compartilhamentos de rede | | Tentativas de logon com credenciais válidas em múltiplos hosts sequencialmente | SIEM: correlação de eventos 4624 em sequência rápida | ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-291a) CISA/FBI/NSA - BlackMatter Ransomware Advisory AA21-291A (Out 2021) - [2](https://www.mandiant.com/resources/blog/blackmatter-ransomware) Mandiant - BlackMatter Ransomware Analysis (2021) - [3](https://unit42.paloaltonetworks.com/blackmatter-ransomware/) Unit 42 - BlackMatter Ransomware Technical Analysis (2021) - [4](https://www.darkreading.com/threat-intelligence/blackmatter-ransomware-successor-darkside-revil) Dark Reading - BlackMatter: Successor to DarkSide and REvil (2021) - [5](https://thedfirreport.com/2021/11/15/exchange-exploit-leads-to-domain-wide-ransomware/) The DFIR Report - Exchange Exploit Leads to BlackMatter Ransomware (2021) - [6](https://www.bleepingcomputer.com/news/security/blackmatter-ransomware-gang-rises-from-darkside-and-revil-ashes/) BleepingComputer - BlackMatter Gang Rises from DarkSide and REvil Ashes (2021) **Grupos relacionados:** [[darkside|DarkSide]] · [[s0496-revil|REvil]] · [[lockbit|LockBit]] · [[cl0p|Cl0p]] **Malware:** [[s0570-blackmatter-ransomware|BlackMatter Ransomware]] · [[s0154-cobalt-strike|Cobalt Strike]] · [[mimikatz|Mimikatz]] **TTPs principais:** [[t1486-data-encrypted-for-impact|T1486]] · [[t1490-inhibit-system-recovery|T1490]] · [[t1567-exfiltration-over-web-service|T1567]] · [[t1003-001-lsass-memory|T1003.001]] · [[t1133-external-remote-services|T1133]] **Setores alvejados:** [[critical-infrastructure|Infraestrutura Crítica]] · [[food-agriculture|Alimentos e Agricultura]] · [[healthcare|Saúde]] · [[manufacturing|Manufatura]]