blackmatter-ransomware

# BlackMatter Ransomware > [!high] Sucessor do DarkSide — RaaS de Curta Duração com Alto Impacto > BlackMatter foi um grupo de ransomware operacional entre julho e novembro de 2021, considerado sucessor do DarkSide (responsável pelo ataque ao Colonial Pipeline). Atacou infraestrutura crítica incluindo o sistema alimentar dos EUA (NEW Cooperative e Crystal Valley) antes de encerrar operações abruptamente. ## Visão Geral O BlackMatter foi um grupo de ransomware-as-a-service ativo entre julho e novembro de 2021, amplamente considerado o sucessor do [[alphv-ransomware|DarkSide]] — grupo que encerrou operações após o ataque ao Colonial Pipeline causar crise nacional de combustível nos EUA e atrair atenção do FBI e Casa Branca. O BlackMatter incorporou elementos técnicos do DarkSide e do Lockbit, incluindo criptografia multiplataforma (Windows, Linux e VMware ESXi) e o modelo de dupla extorsão via site de vazamento. O grupo declarou explicitamente que não atacaria hospitais, utilities críticos ou setores de defesa — regra que violou ao comprometer a NEW Cooperative e Crystal Valley Cooperative, cooperativas agrícolas americanas, em setembro de 2021. A CISA e o FBI emitiram um alerta conjunto em outubro de 2021 sobre o BlackMatter. Em novembro de 2021, o grupo anunciou encerramento das operações citando "pressão das autoridades" — com suspeita de que alguns operadores migraram para o [[alphv-ransomware|ALPHV/BlackCat]]. > [!latam] Relevância para o Brasil e LATAM > O BlackMatter não documentou ataques ao Brasil durante suas operações, mas o padrão de atacar cooperativas agrícolas é altamente relevante: o agronegócio brasileiro representa mais de 25% do PIB e é um dos setores mais visados por ransomware globalmente. Grupos sucessores do BlackMatter (ALPHV/BlackCat) têm histórico de ataques a empresas brasileiras. O [[agribusiness|setor de agronegócio]] deve ser tratado como alvo de alto valor para grupos de ransomware com motivação financeira. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1078-valid-accounts\|T1078]] | Credenciais RDP e VPN comprometidas via IABs | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia de Windows, Linux e ESXi com Salsa20+RSA | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Deleção de shadow copies e desabilitação de backups | | Exfiltration | [[t1048-exfiltration-over-alternative-protocol\|T1048]] | Exfiltração antes da criptografia para dupla extorsão | ## Detecção - Monitorar tentativas de acesso RDP/VPN de locais geográficos incomuns - Detectar processos com padrão de deleção massiva de arquivos de backup e shadow copies - Alertar para tentativas de login em hipervisores VMware ESXi de hosts não autorizados - Monitorar tráfego de exfiltração em massa via rclone ou ferramentas similares ## Referências - [CISA/FBI - BlackMatter Ransomware Alert AA21-291A (2021)](https://www.cisa.gov/uscert/ncas/alerts/aa21-291a) - [Recorded Future - BlackMatter Analysis (2021)](https://www.recordedfuture.com/blackmatter-ransomware) - [Talos - BlackMatter: New Ransomware Group Claims Links to DarkSide (2021)](https://blog.talosintelligence.com/)