BlackMatter e Babuk utilizzano lo stesso server per pubblicare i loro leaks

BlackMatter ha pubblicato i file e i documenti trapelati relativi alle aziende vittime infette a partire dal ​​1° agosto 2021. Hanno pubblicato i dati trapelati di 7 aziende vittime infette sul loro sito di leaks.

BlackMatter utilizza i servizi di file sharing

BlackMatter utilizza i servizi di file hosting sul proprio sito di leak e non carica i dati trapelati sul proprio server web. Abbiamo verificato che BlackMatter utilizzasse Mega Cloud, PrivatLab, DropmeFiles, 2 server Web Tor.

BlackMatter x Babuk: utilizzo dello stesso server Web per la condivisione di file trapelati

Il punto interessante è che un server Web Tor ( http://flhnknbdg7 ****.onion) è lo stesso del file server di Babuk quando condividono i file trapelati con gli utenti.

I dati trapelati caricati sullo stesso server web da BlackMatter e Babuk

Nel file server di BlackMatter, S2W ha controllato i dati trapelati caricati da Babuk e BlackMatter come di seguito:

La stringa è stata cambiata il 28 agosto 2021

(Titolo precedente) 2021-05-31 BABUK STRONAGE SERVER, Joe Biden Caprophile

(Titolo attuale) 2021–08–28 GROVE STRONAGE SERVER

Quando Babuk utilizza questo server web per condividere i file trapelati, se entriamo nella directory principale del server web, possiamo vedere la stringa di BABUK STRONAGE SERVER, Joe Biden Caprophile. Ma ora, il titolo del server web ha cambiato la stringa in GROVE STRONAGE SERVER.

Conclusioni

Non ci sono per il momento altri elementi di prova del fatto che i due gruppi ransomware siano collegati tra loro, può anche solo trattarsi di una coincidenza esser capitati entrambi sullo stesso server. Però abbiamo voluto dar luce a questo studio effettuato da S2W, di modo da tenere traccia per successivi eventuali sviluppi che possono verificarsi.