BlackMatter ha pubblicato i file e i documenti trapelati relativi alle aziende vittime infette a partire dal 1° agosto 2021. Hanno pubblicato i dati trapelati di 7 aziende vittime infette sul loro sito di leaks.
BlackMatter utilizza i servizi di file sharing
BlackMatter utilizza i servizi di file hosting sul proprio sito di leak e non carica i dati trapelati sul proprio server web. Abbiamo verificato che BlackMatter utilizzasse Mega Cloud, PrivatLab, DropmeFiles, 2 server Web Tor.
BlackMatter x Babuk: utilizzo dello stesso server Web per la condivisione di file trapelati
Il punto interessante è che un server Web Tor ( http://flhnknbdg7 ****.onion) è lo stesso del file server di Babuk quando condividono i file trapelati con gli utenti.
I dati trapelati caricati sullo stesso server web da BlackMatter e Babuk
Nel file server di BlackMatter, S2W ha controllato i dati trapelati caricati da Babuk e BlackMatter come di seguito:
La stringa è stata cambiata il 28 agosto 2021
(Titolo precedente) 2021-05-31 BABUK STRONAGE SERVER, Joe Biden Caprophile
(Titolo attuale) 2021–08–28 GROVE STRONAGE SERVER
Quando Babuk utilizza questo server web per condividere i file trapelati, se entriamo nella directory principale del server web, possiamo vedere la stringa di BABUK STRONAGE SERVER, Joe Biden Caprophile. Ma ora, il titolo del server web ha cambiato la stringa in GROVE STRONAGE SERVER.
Conclusioni
Non ci sono per il momento altri elementi di prova del fatto che i due gruppi ransomware siano collegati tra loro, può anche solo trattarsi di una coincidenza esser capitati entrambi sullo stesso server. Però abbiamo voluto dar luce a questo studio effettuato da S2W, di modo da tenere traccia per successivi eventuali sviluppi che possono verificarsi.
