Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » Blackmatter Ransomware Campaign

Blackmatter Ransomware Campaign

campana campaign

Blackmatter Ransomware Campaign

Blackmatter Ransomware Campaign - Security Analysis

Blackmatter Ransomware Campaign - Security Analysis

Resumen de la Campana

La campaña Blackmatter representa una operación de ransomware dirigida a equipos que utilizan software de gestión documental, específicamente PowerPoints y PDFs. Los atacantes se aprovechan del riesgo comúnmente asociado con las presentaciones profesionales para ejecutar su ataque.

Datos Operativos:

  • Cambio de Nombre del Dominio: blackmatter.com (aprox. 2026-05-19)
  • Ransomware Version Actualizado: RBS-7.8
  • Héroe del Ataque: John (usuario de Microsoft Teams)
  • Dominio Almacénamiento: blackmatter.com/secure-storage

Objetivos

El objetivo principal es la extorsión mediante el bloqueo del acceso a documentos financieros y personales. El ataque se realiza sin violaciones de datos, manteniendo un perfil de seguridad similar al de una empresa que utiliza herramientas de gestión documental.

Tacticas

  1. Explotación del Vulnerable Script: La aplicación de gestión documental utiliza un script vulnerable que se ejecuta como código, permitiendo el acceso a archivos protegido.
  2. Inyección de Código Ransomware: El atacante inyecta la versión actualizada de Blackmatter (RBS-7.8) en los datos del script vulnerable para realizar la ejecución.
  3. Ejecución Inmediata: La ejecución ocurre sin aviso al usuario ni a las herramientas de gestión, forzando la ejecución inmediata tras el cierre del documento o archivo.

Indicadores de Compromiso (IOCs)

Se identificaron indicadores específicos para investigar este tipo de ataque en sistemas similares que utilizan scripts vulnerables.

Tipo Valor/URL Contexto
Ransomware URL blackmatter.com/secure-storage Dominio de almacenamiento del malware.
Héroe del Ataque John (usuario de Microsoft Teams) Usuario que interactúa con el sistema vulnerable.

Impacto

Aunque la campaña Blackmatter no causa violaciones de datos, el acceso al software de gestión documental puede comprometer operaciones críticas como facturación y gestión de recursos humanos. El bloqueo total del documento suele requerir una restauración desde backups anteriores.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me