# BlackMatter Ransomware > Tipo: **ransomware RaaS** - S0570 - [MITRE ATT&CK](https://attack.mitre.org/software/S0570) > [!danger] Sucessor do DarkSide - Ataque a Infraestrutura Agricola dos EUA em 2021 > O BlackMatter surgiu em julho de 2021 como sucessor direto do [[darkside-ransomware-group|DarkSide]] e do REvil, reunindo afiliados de ambos os grupos. Operou por apenas 3 meses antes de encerrar operações em novembro de 2021, mas nesse período atacou infraestrutura critica americana incluindo New Cooperative (cooperativa agricola de Iowa) e Crystal Valley (distribuidora de graos). Técnicamente superior ao DarkSide, o BlackMatter introduziu encriptacao multi-thread otimizada e suporte nativo a ESXi. O FBI públicou advisory específico sobre o grupo antes de seu encerramento. ## Visão Geral [[s0570-blackmatter-ransomware|BlackMatter]] e um ransomware-as-a-service ativo de julho a novembro de 2021, rastreado pelo MITRE como **S0570**. Conforme confirmado pelos operadores no lançamento, o grupo incorporou as "melhores caracteristicas" do [[darkside-ransomware-group|DarkSide]] (que atacou o Colonial Pipeline), do REvil e do LockBit. Esta combinacao de expertises tornou o BlackMatter técnicamente sofisticado desde o primeiro dia. O BlackMatter manteve o modelo de exclusao geografica do DarkSide (verificando idioma do sistema via ([[t1614-001-system-language-discovery|T1614.001]]) para nao atacar paises ex-URSS), mas com escopo ampliado para incluir mais paises. Contrariando a "politica etica" de nao atacar infraestrutura critica, o grupo atacou duas cooperativas agricolas americanas em setembro de 2021 - durante a colheita. A CISA, FBI e NSA públicaram um advisory conjunto (AA21-291A) alertando específicamente sobre ataques a infraestrutura critica. O encerramento abrupto em novembro de 2021 foi atribuido a "pressao das autoridades" e potencialmente relacionado a operações do FBI contra os servidores do REvil no mesmo período. O grupo CARBON SPIDER, operador do BlackMatter, posteriormente se associou ao desenvolvimento do [[blackcat-ransomware|ALPHV/BlackCat]]. **Plataformas:** Windows, Linux (VMware ESXi) ## Como Funciona 1. **Acesso por credenciais comprometidas:** Foco em credenciais RDP e VPN obtidas de Initial Access Brokers (IABs) ([[t1078-valid-accounts|T1078]]) - o BlackMatter anunciou públicamente que comprava acessos de IABs para redes com receita > USD 100 milhões 2. **Reconhecimento e exclusao:** Verifica idioma do sistema ([[t1614-001-system-language-discovery|T1614.001]]) para excluir alvos em paises ex-URSS mais alguns adicionais 3. **Desativacao de defesas:** Para mais de 280 processos de Windows antes da criptografia ([[t1562-001-disable-or-modify-tools|T1562.001]] + [[t1489-service-stop|T1489]]) - lista extensa incluindo todos os principais AV, EDR e soluções de backup 4. **Exfiltração de dados:** Coleta arquivos sensiveis antes da criptografia ([[t1005-data-from-local-system|T1005]]) 5. **Criptografia multi-thread:** Implementacao hibrida com Salsa20 + RSA-1024; modo de encriptacao parcial de arquivos grandes (primeiros e ultimos N bytes) para acelerar o processo 6. **Variante ESXi:** Encripta volumes ESXi, apaga snapshots e desliga VMs em operação via comandos esxcli 7. **Delecao de shadows:** Remove shadow copies, desativa Windows recovery ([[t1490-inhibit-system-recovery|T1490]]) ```mermaid graph TB A["IAB Access Purchase<br/>RDP / VPN credentials<br/>T1078 + USD > 100M target"] --> B["Reconhecimento AD<br/>Exclusao geografica<br/>T1614.001 idioma"] B --> C["280+ processos parados<br/>AV / EDR / Backup<br/>T1562.001 + T1489"] C --> D["Exfiltração dados<br/>T1005 pre-criptografia<br/>Site vazamento BlackMatter"] D --> E["Salsa20 + RSA-1024<br/>Encriptacao parcial rapida<br/>Multi-thread otimizado"] D --> F["ESXi variante Linux<br/>esxcli snap delete<br/>VMs criptografadas em massa"] E --> G["Dupla extorsao<br/>T1657 - Prazo 3-4 dias<br/>Resgaté + vazamento"] F --> G classDef access fill:#e74c3c,color:#fff classDef recon fill:#e67e22,color:#fff classDef disable fill:#8e44ad,color:#fff classDef exfil fill:#2980b9,color:#fff classDef encrypt fill:#2c3e50,color:#fff classDef impact fill:#c0392b,color:#fff class A access class B recon class C disable class D exfil class E,F encrypt class G impact ``` ## Timeline ```mermaid timeline title BlackMatter Ransomware - Historico Jul 2021 : BlackMatter anunciado em forums underground : Recruta afiliados - DarkSide + REvil + LockBit TTPs Ago 2021 : Primeiras vitimas confirmadas : Foco em grandes corporacoes USD >100M receita Set 2021 : New Cooperative Iowa atacada : Crystal Valley Farm cooperativa afetada Out 2021 : FBI/CISA/NSA Advisory AA21-291A : Alerta específico sobre ataques a agro/infra critica Nov 2021 : BlackMatter encerra operacoes : Pressao de autoridades - servidores desligados 2022 : ALPHV/BlackCat emerge : Mesmo grupo CARBON SPIDER com Rust e novos TTPs ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1078-valid-accounts\|T1078]] | Credenciais compradas de IABs | | Defense Evasion | [[t1614-001-system-language-discovery\|T1614.001]] | Exclusao de paises ex-URSS | | Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Para 280+ processos AV/EDR/Backup | | Defense Evasion | [[t1489-service-stop\|T1489]] | Para servicos criticos pre-criptografia | | Collection | [[t1005-data-from-local-system\|T1005]] | Exfiltração pre-criptografia | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Salsa20 + RSA-1024 multi-thread | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Delecao de shadows, desativa recovery | | Impact | [[t1657-financial-theft\|T1657]] | Dupla extorsao - resgaté + públicacao | ## Relevância LATAM/Brasil O [[s0570-blackmatter-ransomware|BlackMatter]] e inativo, mas e predecessor direto do [[s1068-alphvblackcat|ALPHV/BlackCat]], que ataca ativamente o Brasil. O modelo operacional do BlackMatter - especialmente a compra de acesso de IABs para redes com receita acima de USD 100 milhões - e exatamente o modelo usado por seus sucessores hoje. Grandes corporacoes brasileiras nos setores de agronegocio (um dos maiores do mundo), energia e manufatura se enquadram perfeitamente no perfil de alvo historico do CARBON SPIDER. A preferência por atacar infraestrutura critica agricola durante períodos sensiveis (colheita, no caso das cooperativas de Iowa) sugere que ataques similares poderiam ser cronometrados para causar máximo impacto no Brasil durante períodos de safra - setor em que o Brasil e lider global. **Setores historicamente impactados:** [[critical-infrastructure|infraestrutura critica]] - [[agriculture|agronegocio]] - [[energy|energia]] - [[manufacturing|manufatura]] ## Detecção - Monitorar paragem em massa de servicos: mais de 10 servicos parados em sequencia por um processo único e indicador de pre-criptografia BlackMatter - Detectar acesso de escrita a diretorios de shadow copies por processos nao-sistema - Alertar para conexoes RDP de IPs novos em horario incomum - vetor primario do grupo - Monitorar comandos esxcli em hosts ESXi que apaguem snapshots ou desliguem VMs em lote ```sigma title: BlackMatter Mass Service Termination Pre-Encryption status: stable logsource: category: process_creation product: windows detection: selection: Image|endswith: - '\net.exe' - '\net1.exe' - '\sc.exe' CommandLine|contains: 'stop' timeframe: 2m condition: selection | count() > 15 level: high tags: - attack.impact - attack.t1489 - attack.t1562.001 - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S0570) MITRE ATT&CK - S0570 BlackMatter (2024) - [2](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-291a) CISA/FBI/NSA - AA21-291A BlackMatter Ransomware (2021) - [3](https://www.sentinelone.com/labs/blackmatter-ransomware-technical-analysis/) SentinelOne Labs - BlackMatter Technical Analysis (2021) - [4](https://www.crowdstrike.com/blog/blackmatter-ransomware-analysis/) CrowdStrike - BlackMatter Technical Analysis (2021) - [5](https://thedfirreport.com/2021/11/15/exchange-exploit-leads-to-domain-wide-ransomware/) DFIR Report - BlackMatter Intrusion Analysis (2021)