Le gang BlackMatter Ransomware aurait cessé toutes ses opérations en raison de la pression accrue des autorités locales chargées de l'application de la loi.
De nombreux groupes de rançongiciels sont apparus et sont entrés dans la clandestinité en 2021, y compris le tristement célèbre groupe de rançongiciels DarkSide. Le groupe faisait l'objet d'une enquête sévère de la part des autorités après avoir attaqué les pipelines américains.
Le gang de rançongiciels REvil est également entré dans la clandestinité après avoir attaqué plusieurs organisations informatiques américaines. Après cela, deux groupes de ransomwares ont émergé, BlackMatter (une prétendue nouvelle image de DarkSide) et Haron, pour profiter de l'engouement pour les ransomwares en tant que service (RaaS).
BlackMatter annonce sa fermeture
Le gang de rançongiciels a annoncé son intention de fermer toutes ses opérations sur le portail de Ransomware en tant que service (RaaS), généralement utilisé par plusieurs groupes cybercriminels pour s'enregistrer pour accéder à la souche de rançongiciel BlackMatter.
Le message a été obtenu par l'un des membres du groupe vx-underground infosec qui a traduit :
"En raison de certaines circonstances insolubles liées à la pression des autorités (une partie de l'équipe n'est plus disponible, après les dernières nouvelles) – le projet est fermé."
«Après 48 heures, toute l'infrastructure sera désactivée, ce qui permettra — Émettre du courrier aux entreprises pour une communication ultérieure;Obtenir un décrypteur. Pour cela, écrivez "donner un décrypteur" dans le chat de l'entreprise, si nécessaire. Nous vous souhaitons beaucoup de succès, nous étions heureux de travailler.
Déclaration de BlackMatter en russe et en anglais
L'association de cybersécurité est assez sceptique quant à la fermeture de BlackMatter. Carl Wearn, responsable de la cybercriminalité chez Mimecast, estime qu'il est tout à fait impossible pour l'auteur de la menace d'arrêter toutes les activités malveillantes.
Wearn a dit :
«Il est très peu probable que ce soit la fin des acteurs de la menace derrière le groupe BlackMatter, et cela ressemble à un changement de marque ou à une scission classique… De nombreuses organisations criminelles prétendent fermer pour tenter de réduire la chaleur, juste pour se diviser ou revenir après une brève pause sous un autre nom »,
Steve Forbes, l'expert en cybersécurité du gouvernement Nominet, a déclaré que les gangs de cybercriminels qui réussissent comme BlackMatter ne peuvent pas rester longtemps à l'écart des activités cybercriminelles et peuvent revenir après une brève période.
Il a déclaré :
« Tout groupe criminel qui réussit comme BlackMatter dispose de fonds et de ressources considérables qui lui permettront de se réinventer. Si les criminels sentent qu'une partie de leur opération est compromise ou que les forces de l'ordre se rapprochent, ils voudront naturellement se distancer de leurs activités et infrastructures existantes le plus rapidement possible, mais étant donné l'activité lucrative du RaaS, nous sommes susceptibles de les voir réapparaître dans un avenir proche.
Les précédentes attaques de BlackMatter
Selon la Cybersecurity and Infrastructure Security Agency, BlackMatter a été remarqué pour la première fois en juillet en tant que groupe RaaS qui propose des dispositions aux affiliés de cybercriminalité qui organisent ensuite des attaques de cybercriminalité contre des entreprises.
Avec un éventuel changement de marque du groupe DarkSide, BlackMatter est connu pour cibler diverses organisations aux États-Unis, exigeant une rançon allant de 80 000 à 15 millions de dollars. BlackMatter a attaqué plusieurs entreprises américaines cette année, y compris la société céréalière basée dans l'Iowa, exigeant un rançongiciel de 5,9 millions de dollars.
Cependant, il est courant que les groupes de rançongiciels ferment leurs portes en raison de problèmes autres que la pression des autorités, comme des problèmes de relations avec les affiliés ou des problèmes techniques.
Selon le CTO et co-fondateur de BreachQuest, Jake Williams a déclaré :
"À ce stade, il n'est pas clair si les membres du groupe central sont" indisponibles "car ils sont en détention ou ont simplement décidé que les enjeux étaient trop élevés pour poursuivre les opérations", a-t-il ajouté.
"Mais la note mentionne spécifiquement la pression des forces de l'ordre locales, et c'est un signe que le bruit du sabre semble aider."
Crédits image : Hackread.com (une image du site Web de BlackMatter)
Williams a également révélé un problème dans le ransomware de BlackMatter qui a fini par coûter quelques millions à ses affiliés et opérateurs le mois dernier. Par conséquent, il n'y aurait pas eu beaucoup de pression sur BlackMatter pour qu'il ferme ses portes, car le groupe avait déjà nui à ses relations avec les affiliés.
Selon une société de cybersécurité basée en Nouvelle-Zélande, Emsisoft, elle a empêché « des dizaines de millions de dollars » de rançongiciels d'atteindre le gang BlackMatter. Après qu'une faille importante a été révélée dans le groupe, Emsisoft a aidé les victimes du gang à récupérer leurs fichiers cryptés sans payer de rançon.
Un analyste des menaces d'Emsisoft, Brett Callow, a mentionné qu'il considérait leur campagne de décryptage comme la fin de BlackMatter, mais il n'en est plus trop sûr.
Selon Callow :
"Il est impossible de dire s'il s'agira d'une sortie permanente ou simplement d'un autre changement de marque",
"Espérons que ce soit le premier."
Selon un analyste principal du renseignement sur les cybermenaces de Digital Shadows, Xue Yin Peh :
"Bien que l'annonce de BlackMatter suggère un arrêt des opérations, si l'on considère les événements précédents, il y a quelques possibilités quant à l'avenir de BlackMatter",
« 1) Les membres ou les affiliés restent discrets pendant un certain temps, restant inactifs tout en prenant une pause dans les activités de ransomware ; 2) Les membres ou affiliés sont absorbés par les programmes de rançongiciel en tant que service d'autres groupes ; 3) BlackMatter changera de marque en un nouveau programme sous un autre nom. Avec les forces de l'ordre sur leurs talons, il est plus probable que BlackMatter prenne son temps pour laisser la poussière aux forces de l'ordre s'installer, redévelopper leurs outils, puis réapparaître avec une charge utile nouvelle et améliorée.