BlackMatter Ransomware väittää lopettavan toiminnan täytäntöönpanopaineen vuoksi

Viimeisin päivitys kesä 20, 2023

Sisältö

BlackMatter Ransomware – jengin kerrotaan lopettavan kaiken toimintansa paikallisten valvontaviranomaisten lisääntyneen paineen vuoksi.

Monet kiristysohjelmaryhmät ilmestyivät ja menivät maan alle vuoden 2021 aikana, mukaan lukien surullisen kuuluisa DarkSide ransomware -ryhmä. Ryhmä oli viranomaisten ankaran tutkinnan kohteena sen jälkeen, kun se hyökkäsi Yhdysvaltain putkilinjoihin.

REvil ransomware -jengi meni myös maan alle hyökättyään useita yhdysvaltalaisia IT-organisaatioita vastaan. Tämän jälkeen syntyi kaksi ransomware-ryhmää, BlackMatter (väitetty DarkSiden tuotemerkki) ja Haron hyödyntämään Ransomware as a Service (RaaS) -hulluutta.

BlackMatter ilmoittaa sulkemisensa

Ransomware-jengi ilmoitti suunnitelmastaan sulkea kaikki toimintansa Ransomware as a Service (RaaS) -portaalissa, jota yleensä käyttävät useat kyberrikollisryhmät rekisteröityäkseen BlackMatter ransomware -kantaan.

Viestin sai yksi vx-underground infosec -ryhmän jäsenistä, joka käänsi:

"Tietyistä ratkaisemattomista olosuhteista johtuen viranomaisten painostuksesta (osa tiimistä ei ole enää saatavilla viimeisimpien uutisten jälkeen) – projekti on suljettu."

"48 tunnin kuluttua koko infrastruktuuri kytketään pois päältä, mikä mahdollistaa – Lähettää sähköpostia yrityksille jatkoviestintää varten; Hanki salauksenpurkuohjelma. Tätä varten kirjoita tarvittaessa yrityksen chatissa "anna salauksenpurku". Toivotamme teille kaikille menestystä, olimme iloisia voidessamme työskennellä."

BlackMatterin lausunto venäjäksi ja englanniksi

Kyberturvallisuusyhdistys suhtautuu melko skeptisesti BlackMatterin sulkemiseen. Carl Wearn, Mimecastin sähköisen rikollisuuden johtaja, uskoo, että uhkanäyttelijän on melko mahdotonta lopettaa kaikki haitalliset toiminnot.

Wearn sanoi:

"Tämä on erittäin epätodennäköistä, että BlackMatter-ryhmän takana olevat uhkatoimijat loppuvat, ja tämä näyttää klassiselta brändinvaihdokselta tai hajoamiselta… Monet rikollisjärjestöt väittävät sulkevansa toimintansa yrittääkseen vähentää lämpöä, vain sirpaloituakseen tai palatakseen takaisin sen jälkeen. lyhyt tauko eri nimellä"

Nominetin hallituksen kyberturvallisuusasiantuntija Steve Forbes julisti, että BlackMatterin kaltaiset menestyneet kyberrikollisjoukot eivät voi pysyä poissa kyberrikollisista toimista pitkään ja voivat palata takaisin lyhyen ajan kuluttua.

Hän julisti:

"Millä tahansa menestyneellä rikollisryhmällä, kuten BlackMatterilla, on huomattavia varoja ja resursseja, joiden avulla ne voivat keksiä itsensä uudelleen. Jos rikolliset kokevat, että osa heidän toiminnastaan vaarantuu tai lainvalvonta on sulkeutumassa, he haluavat luonnollisesti etääntyä olemassa olevista toiminnoistaan ja infrastruktuuristaan mahdollisimman nopeasti, mutta RaaS:n tuottoisan toiminnan vuoksi näemme heidät todennäköisesti. ilmestyvät uudelleen lähitulevaisuudessa."

BlackMatterin aiemmat hyökkäykset

Kyberturvallisuus- ja infrastruktuuriturvaviraston mukaan BlackMatter huomattiin ensimmäisen kerran heinäkuussa RaaS-konsernina, joka tarjoaa palveluita kyberrikollisuuden tytäryhtiöille, jotka sitten toteuttavat kyberrikoshyökkäyksiä yrityksiä vastaan.

DarkSide-ryhmän mahdollisen uudelleenbrändin myötä BlackMatterin on tiedetty kohdistaneen kohteena useita organisaatioita Yhdysvalloissa vaatien lunnaita 80 000 – 15 miljoonan dollarin välillä. BlackMatter on hyökännyt tänä vuonna useisiin yhdysvaltalaisiin yrityksiin, mukaan lukien Iowassa sijaitsevaan viljayhtiöön, vaatien 5,9 miljoonan dollarin kiristysohjelmia.

On kuitenkin yleistä, että kiristysohjelmaryhmät sulkeutuvat muiden ongelmien kuin viranomaisten painostuksen vuoksi, kuten suhteiden sidosyritysten kanssa tai teknisten ongelmien vuoksi.

Tekniikan johtajan ja BreachQuestin perustajan mukaan Jake Williams sanoi:

"Tässä vaiheessa ei ole selvää, ovatko ydinryhmän jäsenet "poissa" siksi, että he ovat pidätettyinä vai ovat yksinkertaisesti päättäneet, että panokset ovat liian korkeat jatkaakseen toimintaansa."

"Mutta muistiinpanossa mainitaan erityisesti paikallisten lainvalvontaviranomaisten painostus, ja se on merkki siitä, että sapelin kolina näyttää auttavan."

Kuvan tekijät: Hackread.com (kuva BlackMatterin verkkosivustolta)

Williams paljasti myös ongelman BlackMatterin kiristysohjelmassa, joka joutui maksamaan sen tytäryhtiöille ja operaattoreille muutaman miljoonan viime kuussa. Siksi BlackMatterin sulkeminen ei olisi ollut suuri paine, koska ryhmä oli jo vahingoittanut suhdettaan tytäryhtiöihin.

Uusiseelantilaisen kyberturvayrityksen Emsisoftin mukaan se on estänyt "kymmenien miljoonien dollarien" lunnasohjelmien pääsyn BlackMatter-jengiin. Kun ryhmässä paljastui merkittävä puute, Emsisoft auttoi jengin uhreja palauttamaan salatut tiedostonsa maksamatta lunnaita.

Emsisoftin uhkaanalyytikko Brett Callow mainitsi, että hän piti heidän salauksenpurkukampanjaansa BlackMatterin lopussa, mutta hän ei ole enää varma.

Callow'n mukaan:

"On mahdotonta sanoa, tuleeko tästä pysyvä irtautuminen vai yksinkertaisesti uusi tuotemerkki."

"Toivotaan, että se on edellinen."

Digital Shadowsin vanhemman kyberuhkien tiedusteluanalyytikon Xue Yin Pehin mukaan:

"Vaikka BlackMatterin ilmoitus viittaisi toiminnan keskeyttämiseen, jos otamme huomioon aikaisemmat tapahtumat, BlackMatterin tulevaisuudelle on muutamia mahdollisuuksia."

"1) Jäsenet tai tytäryhtiöt makaavat alhaalla jonkin aikaa pysyen passiivisina pitäessään tauon kiristysohjelmatoiminnasta; 2) jäsenet tai sisaryritykset ovat sulautuneet muiden ryhmien ransomware-as-a-service -ohjelmiin; 3) BlackMatter brändätään uudeksi ohjelmaksi toisella nimellä. Kun lainvalvontaviranomaiset ovat kovassa vauhdissa, on todennäköisempää, että BlackMatter käyttää aikansa antaakseen lainvalvontaviranomaisten pölyn laskeutua, kehittääkseen työkalujaan uudelleen ja ilmaantuvan sitten uudelleen uudella ja parannetulla hyötykuormalla."