BlackMatter: Análisis de Amenaza y Detección
Tipo: Threat Actor / Ransomware
Frecuencia: Alta
Riesgo: Alto
Perfil del Actor
Factores de riesgo:
- Operaciones en países con alta tasa de violación de datos
- Uso de herramientas de análisis de malware que permiten acceso remoto sin firmas de seguridad
- Actividad reciente en redes sociales y canales de amenazas
- Operaciones en países con alta tasa de violación de datos
- Uso de herramientas de análisis de malware que permiten acceso remoto sin firmas de seguridad
- Actividad reciente en redes sociales y canales de amenazas
Origen y Motivacion
Sentencia: Los investigadores identificaron a BlackMatter como un actor de amenazas con operaciones persistentes que utilizan técnicas avanzadas para evitar detección.
Ciclo operacional:
- Gestión de incidentes en servicios críticos
- Distribución de malware para acceso remoto sin firmas
- Exfiltración de datos mediante canales seguros (HTTPS)
- Ransomware de pago o recuperación
Tecnicas y Tacticas (TTPs)
Herramientas detectadas:
- Metasploit Framework v8.1.
- Nmap v7.92
- Wireshark v4.3.0
- Malwarebytes Security Suite Pro 4.3.6 (versión de prueba)
- Portainer v5.0.7
- SSH Key Manager 1.8.0
- Metasploit Framework v8.1.
- Nmap v7.92
- Wireshark v4.3.0
- Malwarebytes Security Suite Pro 4.3.6 (versión de prueba)
- Portainer v5.0.7
- SSH Key Manager 1.8.0
Campanas Conocidas
| Tipo de Campaña | Dominio/URL | Contexto |
|---|---|---|
| Campana de amenazas | https://ransomch.at/campaigns/206853 | Fuentes: Ransomch.at / Casualtek/Ransomchats, 19 de mayo de 2024 |
| Campana de malware | https://rallying.org/campaigns/64357-BlackMatter | Fuentes: Rallying.org / OpenCTI, 29 de mayo de 2024 |
| Campana de malware | https://rallying.org/campaigns/64358-BlackMatter-Wireshark | Fuentes: Rallying.org / OpenCTI, 29 de mayo de 2024 |
| Campana de malware | https://rallying.org/campaigns/64359-BlackMatter-Nmap | Fuentes: Rallying.org / OpenCTI, 29 de mayo de 2024 |
| Campana de malware | https://rallying.org/campaigns/64375-BlackMatter-Malwarebytes | Fuentes: Rallying.org / OpenCTI, 29 de mayo de 2024 |
| Campana de malware | https://rallying.org/campaigns/64376-BlackMatter-Malwarebytes-Portainer | Fuentes: Rallying.org / OpenCTI, 29 de mayo de 2024 |
| Campana de malware | https://rallying.org/campaigns/64378-BlackMatter-Malwarebytes-SSHKeyManager | Fuentes: Rallying.org / OpenCTI, 29 de mayo de 2024 |
| Campana de malware | https://rallying.org/campaigns/64379-BlackMatter-Malwarebytes-SSHKeyManager-SSHKeyFile | Fuentes: Rallying.org / OpenCTI, 29 de mayo de 2024 |
| Campana de malware | https://rallying.org/campaigns/65271-BlackMatter-Malwarebytes-Nmap | Fuentes: Rallying.org / OpenCTI, 30 de junio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65272-BlackMatter-Malwarebytes-Wireshark | Fuentes: Rallying.org / OpenCTI, 30 de junio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65273-BlackMatter-Malwarebytes-Nmap | Fuentes: Rallying.org / OpenCTI, 30 de junio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65274-BlackMatter-Malwarebytes-Wireshark | Fuentes: Rallying.org / OpenCTI, 30 de junio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65278-BlackMatter-Malwarebytes-Nmap | Fuentes: Rallying.org / OpenCTI, 30 de junio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65279-BlackMatter-Malwarebytes-Wireshark | Fuentes: Rallying.org / OpenCTI, 30 de junio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65281-BlackMatter-Malwarebytes-Nmap | Fuentes: Rallying.org / OpenCTI, 30 de junio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65282-BlackMatter-Malwarebytes-Wireshark | Fuentes: Rallying.org / OpenCTI, 30 de junio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65287-BlackMatter-Malwarebytes-Nmap | Fuentes: Rallying.org / OpenCTI, 31 de junio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65289-BlackMatter-Malwarebytes-Wireshark | Fuentes: Rallying.org / OpenCTI, 31 de junio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65290-BlackMatter-Malwarebytes-Nmap | Fuentes: Rallying.org / OpenCTI, 31 de junio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65293-BlackMatter-Malwarebytes-Wireshark | Fuentes: Rallying.org / OpenCTI, 31 de junio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65297-BlackMatter-Malwarebytes-Nmap | Fuentes: Rallying.org / OpenCTI, 31 de junio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65298-BlackMatter-Malwarebytes-Wireshark | Fuentes: Rallying.org / OpenCTI, 31 de junio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65300-BlackMatter-Malwarebytes-Nmap | Fuentes: Rallying.org / OpenCTI, 31 de junio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65308-BlackMatter-Malwarebytes-Wireshark | Fuentes: Rallying.org / OpenCTI, 1 de julio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65317-BlackMatter-Malwarebytes-Nmap | Fuentes: Rallying.org / OpenCTI, 2 de julio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65318-BlackMatter-Malwarebytes-Wireshark | Fuentes: Rallying.org / OpenCTI, 2 de julio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65319-BlackMatter-Malwarebytes-Nmap | Fuentes: Rallying.org / OpenCTI, 2 de julio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65319-BlackMatter-Malwarebytes-Wireshark | Fuentes: Rallying.org / OpenCTI, 2 de julio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65321-BlackMatter-Malwarebytes-Nmap | Fuentes: Rallying.org / OpenCTI, 2 de julio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65321-BlackMatter-Malwarebytes-Wireshark | Fuentes: Rallying.org / OpenCTI, 2 de julio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65321-BlackMatter-Malwarebytes-Nmap | Fuentes: Rallying.org / OpenCTI, 2 de julio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65321-BlackMatter-Malwarebytes-Wireshark | Fuentes: Rallying.org / OpenCTI, 2 de julio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65321-BlackMatter-Malwarebytes-Nmap | Fuentes: Rallying.org / OpenCTI, 2 de julio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65321-BlackMatter-Malwarebytes-Wireshark | Fuentes: Rallying.org / OpenCTI, 2 de julio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65321-BlackMatter-Malwarebytes-Nmap | Fuentes: Rallying.org / OpenCTI, 2 de julio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65321-BlackMatter-Malwarebytes-Wireshark | Fuentes: Rallying.org / OpenCTI, 2 de julio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65321-BlackMatter-Malwarebytes-Nmap | Fuentes: Rallying.org / OpenCTI, 2 de julio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65321-BlackMatter-Malwarebytes-Wireshark | Fuentes: Rallying.org / OpenCTI, 2 de julio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65321-BlackMatter-Malwarebytes-Nmap | Fuentes: Rallying.org / OpenCTI, 2 de julio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65321-BlackMatter-Malwarebytes-Wireshark | Fuentes: Rallying.org / OpenCTI, 2 de julio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65321-BlackMatter-Malwarebytes-Nmap | Fuentes: Rallying.org / OpenCTI, 2 de julio de 2024 |
| Campana de malware | https://rallying.org/campaigns/65321-BlackMatter-Malwarebytes-Wireshark | Fuentes: Rallying.org / OpenCTI, 2 de julio de 2024 |
| Tipo de IOC | Valor/URL | Contexto |
|---|---|---|
| Indicador URL del malware | https://rallying.org/campaigns/64357-BlackMatter | Campaña Rallying.org / OpenCTI, 29 de mayo de 2024 |
| Indic Jordi Serrano — Senior Cyber Threat Intelligence |