Secondo quanto riferito, la banda di BlackMatter Ransomware sta cessando tutte le sue operazioni a causa della maggiore pressione da parte delle autorità di contrasto locali.
Molti gruppi di ransomware sono apparsi e sono diventati clandestini durante il 2021, incluso il famigerato gruppo ransomware DarkSide. Il gruppo è stato oggetto di severe indagini da parte delle autorità dopo aver attaccato gli oleodotti statunitensi.
Anche la gang del ransomware REvil è diventata clandestina dopo aver attaccato diverse organizzazioni IT statunitensi. Successivamente, sono emersi due gruppi di ransomware, BlackMatter (un presunto rebrand di DarkSide) e Haron, per sfruttare la mania del Ransomware as a Service (RaaS).
BlackMatter annuncia la sua chiusura
La banda di ransomware ha dichiarato il suo piano per chiudere tutte le sue operazioni sul portale di Ransomware as a Service (RaaS), solitamente utilizzato da più gruppi di criminali informatici per registrarsi per l'accesso al ceppo ransomware BlackMatter.
Il messaggio è stato ottenuto da uno dei membri del gruppo vx-underground infosec che ha tradotto:
"A causa di alcune circostanze irrisolvibili associate alle pressioni delle autorità (parte del team non è più disponibile, dopo le ultime notizie) – il progetto è chiuso".
"Dopo 48 ore l'intera infrastruttura verrà disattivata, consentendo: — Inviare la posta alle aziende per ulteriori comunicazioni; Ottenere il decryptor. Per questo scrivi ‘give a decryptor' all'interno della chat aziendale, ove necessario. Vi auguriamo tutto il successo, siamo stati felici di lavorare.
Dichiarazione di BlackMatter in russo e inglese
L'associazione per la sicurezza informatica è piuttosto scettica riguardo alla chiusura di BlackMatter. Carl Wearn, il responsabile dell'e-crime di Mimecast, ritiene che sia del tutto impossibile per l'attore delle minacce abbandonare tutte le attività dannose.
Wearn ha detto:
"È altamente improbabile che questa sia la fine degli attori delle minacce dietro il gruppo BlackMatter, e questo sembra un classico rebranding o frammentazione… Molte organizzazioni criminali affermano di chiudere nel tentativo di ridurre il calore, solo per frantumarsi o tornare dopo una breve pausa sotto un altro nome,
Steve Forbes, l'esperto di sicurezza informatica del governo Nominet, ha dichiarato che le bande di criminali informatici di successo come BlackMatter non possono stare lontano dalle attività dei criminali informatici a lungo e possono tornare dopo un breve periodo.
Ha dichiarato:
“Qualsiasi gruppo criminale di successo come BlackMatter ha fondi e risorse considerevoli che gli consentiranno di reinventarsi. Se i criminali ritengono che parte delle loro operazioni sia compromessa o che le forze dell'ordine si stiano avvicinando, vorranno naturalmente prendere le distanze dalle loro attività e infrastrutture esistenti il più rapidamente possibile, ma data l'attività redditizia di RaaS è probabile che li vedremo riapparire nel prossimo futuro".
I precedenti attacchi di BlackMatter
Secondo la Cybersecurity and Infrastructure Security Agency, BlackMatter è stato notato per la prima volta a luglio come un gruppo RaaS che offre disposizioni agli affiliati alla criminalità informatica che poi organizzano attacchi di criminalità informatica contro le aziende.
Con un possibile rebranding del gruppo DarkSide, BlackMatter è noto per prendere di mira varie organizzazioni negli Stati Uniti, chiedendo un riscatto compreso tra $ 80.000 e $ 15 milioni. BlackMatter ha attaccato diverse società statunitensi quest'anno, inclusa la compagnia di cereali con sede in Iowa, chiedendo un ransomware di 5,9 milioni di dollari.
Tuttavia, è normale che i gruppi ransomware si chiudano a causa di problemi diversi dalla pressione delle autorità, come problemi di relazione con gli affiliati o problemi tecnici.
Secondo il CTO e co-fondatore di BreachQuest, Jake Williams ha dichiarato:
"A questo punto non è chiaro se i membri del gruppo principale siano ‘non disponibili' perché sono in custodia o hanno semplicemente deciso che la posta in gioco è troppo alta per continuare le operazioni",
"Ma la nota menziona specificamente la pressione delle forze dell'ordine locali, e questo è un segno che il tintinnio della sciabola sembra aiutare".
Crediti immagine: Hackread.com (Un'immagine dal sito Web di BlackMatter)
Williams ha anche rivelato un problema nel ransomware di BlackMatter che ha finito per costare ai suoi affiliati e operatori alcuni milioni il mese scorso. Pertanto, non ci sarebbe stata molta pressione su BlackMatter per chiudere poiché il gruppo aveva già danneggiato i suoi rapporti con gli affiliati.
Secondo una società di sicurezza informatica con sede in Nuova Zelanda, Emsisoft, ha impedito a "decine di milioni di dollari" di ransomware di raggiungere la banda di BlackMatter. Dopo che un difetto significativo è stato rivelato nel gruppo, Emsisoft ha aiutato le vittime della banda a recuperare i loro file crittografati senza pagare alcun riscatto.
Un analista delle minacce di Emsisoft, Brett Callow, ha affermato di considerare la loro campagna di decrittazione la fine di BlackMatter, ma non ne è più troppo sicuro.
Secondo Callow:
"È impossibile dire se questa sarà un'uscita permanente o semplicemente un altro rebranding",
"Speriamo che sia il primo".
Secondo un analista senior di intelligence sulle minacce informatiche di Digital Shadows, Xue Yin Peh:
"Sebbene l'annuncio di BlackMatter suggerisca l'interruzione delle operazioni, se consideriamo gli eventi precedenti, ci sono alcune possibilità per quanto riguarda il futuro di BlackMatter",
“1) I membri o gli affiliati restano bassi per un periodo di tempo, rimanendo inattivi mentre si prendono una pausa dalle attività di ransomware; 2) Membri o affiliati vengono assorbiti dai programmi ransomware-as-a-service di altri gruppi; 3) BlackMatter verrà rinominato in un nuovo programma con un altro nome. Con le forze dell'ordine alle calcagna, è più probabile che BlackMatter si prenderà del tempo per lasciare che la polvere delle forze dell'ordine si depositi, ri-svilupperà i propri strumenti e poi riemergerà con un carico utile nuovo e migliorato".