Ransomware BlackMatter rzekomo wyłącza działanie z powodu presji egzekwowania

Ostatnia aktualizacja cze 20, 2023

Zadowolony

Gang BlackMatter Ransomware podobno zaprzestaje wszelkich działań z powodu zwiększonej presji ze strony lokalnych organów ścigania.

Wiele grup oprogramowania ransomware pojawiło się i zeszło do podziemia w 2021 roku, w tym niesławna grupa ransomware DarkSide. Grupa była przedmiotem poważnego śledztwa władz po zaatakowaniu US Pipelines.

Gang oprogramowania ransomware REvil również zszedł do podziemia po zaatakowaniu wielu amerykańskich organizacji IT. Po tym pojawiły się dwie grupy ransomware, BlackMatter (rzekomy rebrand DarkSide) i Haron, aby skorzystać z szaleństwa Ransomware as a Service (RaaS).

BlackMatter ogłasza zamknięcie

Gang ransomware zadeklarował, że planuje zamknąć wszystkie swoje operacje na portalu Ransomware as a Service (RaaS), zwykle używanym przez wiele grup cyberprzestępczych do rejestracji w celu uzyskania dostępu do szczepu ransomware BlackMatter.

Wiadomość została odebrana przez jednego z członków grupy vx-underground infosec, który przetłumaczył:

„Ze względu na pewne nierozwiązywalne okoliczności związane z presją władz (część zespołu nie jest już dostępna, po ostatnich wiadomościach) — projekt zamknięty".

„Po 48 godzinach cała infrastruktura zostanie wyłączona, co umożliwi — wysyłanie poczty do firm w celu dalszej komunikacji; uzyskanie deszyfratora. W tym celu napisz „daj deszyfrator” na czacie firmowym, jeśli to konieczne. Życzymy powodzenia, cieszymy się z pracy.”

Oświadczenie BlackMatter w języku rosyjskim i angielskim

Stowarzyszenie ds. bezpieczeństwa cybernetycznego jest dość sceptycznie nastawione do zamknięcia BlackMatter. Carl Wearn, szef Mimecastu ds. e-przestępczości, uważa, że zaprzestanie wszelkich złośliwych działań przez cyberprzestępcę jest całkiem niemożliwe.

Noszony powiedział:

„Jest to bardzo mało prawdopodobne, aby był to koniec cyberprzestępców stojących za grupą BlackMatter, a to wygląda jak klasyczny rebranding lub rozłam… Wiele organizacji przestępczych twierdzi, że zamyka się, próbując zmniejszyć temperaturę, tylko po to, by się rozbić lub powrócić po krótka przerwa pod inną nazwą”

Steve Forbes, ekspert ds. bezpieczeństwa cybernetycznego rządu Nominet, oświadczył, że odnoszące sukcesy gangi cyberprzestępcze, takie jak BlackMatter, nie mogą długo trzymać się z daleka od działań cyberprzestępczych i mogą powrócić po krótkim czasie.

On zadeklarował:

„Każda odnosząca sukcesy grupa przestępcza, taka jak BlackMatter, dysponuje znacznymi funduszami i zasobami, które umożliwią jej wymyślenie się na nowo. Jeśli przestępcy czują, że część ich operacji jest zagrożona lub że organy ścigania zbliżają się, to naturalnie będą chcieli jak najszybciej zdystansować się od swojej dotychczasowej działalności i infrastruktury, ale biorąc pod uwagę lukratywną działalność RaaS, prawdopodobnie ich zobaczymy pojawić się ponownie w najbliższej przyszłości.”

Poprzednie ataki BlackMatter

Według Agencji ds. Bezpieczeństwa Cybernetycznego i Infrastruktury, BlackMatter został po raz pierwszy zauważony w lipcu jako grupa RaaS, która oferuje przepisy podmiotom powiązanym z cyberprzestępczością, które następnie przeprowadzają cyberprzestępcze ataki na firmy.

Wraz z możliwą rebrandingiem grupy DarkSide, BlackMatter był znany z atakowania różnych organizacji w Stanach Zjednoczonych, żądając okupu w wysokości od 80 000 do 15 milionów dolarów. BlackMatter zaatakował w tym roku wiele amerykańskich firm, w tym firmę zbożową z siedzibą w stanie Iowa, żądając oprogramowania ransomware o wartości 5,9 miliona dolarów.

Jednak często zdarza się, że grupy ransomware są zamykane z powodu problemów innych niż nacisk władz, takich jak problemy z relacjami z podmiotami stowarzyszonymi lub problemy techniczne.

Według CTO i współzałożyciela BreachQuest, Jake Williams powiedział:

„W tej chwili nie jest jasne, czy członkowie podstawowej grupy są „niedostępni”, ponieważ są w areszcie, czy po prostu zdecydowali, że stawka jest zbyt wysoka, aby kontynuować działalność”.

„Ale notatka wyraźnie wspomina o presji miejscowych organów ścigania, a to znak, że grzechotanie szablą wydaje się pomagać”.

Kredyty obrazkowe: Hackread.com (zdjęcie ze strony internetowej BlackMatter)

Williams ujawnił również problem z oprogramowaniem ransomware firmy BlackMatter, który w zeszłym miesiącu kosztował jego podmioty stowarzyszone i operatorów kilka milionów . Dlatego zamknięcie BlackMatter nie wymagałoby dużej presji, ponieważ grupa już zaszkodziła swoim relacjom z oddziałami.

Według firmy Emsisoft z siedzibą w Nowej Zelandii zajmującej się cyberbezpieczeństwem, uniemożliwiło to „dziesiątkom milionów dolarów” ransomware przed dotarciem do gangu BlackMatter. Po tym, jak w grupie wykryto poważną wadę, Emsisoft pomógł ofiarom gangu odzyskać zaszyfrowane pliki bez płacenia okupu.

Analityk zagrożeń firmy Emsisoft, Brett Callow, wspomniał, że uważa ich kampanię deszyfrującą za koniec BlackMatter, ale nie jest już zbyt pewien.

Według Callow:

„Nie można powiedzieć, czy będzie to trwałe wyjście, czy po prostu kolejny rebranding”

„Miejmy nadzieję, że to pierwsze”.

Według starszego analityka ds. cyberzagrożeń w Digital Shadows, Xue Yin Peh:

„Chociaż ogłoszenie BlackMatter sugerowałoby wstrzymanie działalności, jeśli weźmiemy pod uwagę poprzednie wydarzenia, istnieje kilka możliwości co do przyszłości BlackMatter”

„1) Członkowie lub partnerzy pozostają przez pewien czas nieaktywni, gdy robią sobie przerwę od działań ransomware; 2) Członkowie lub partnerzy są wchłonięci przez programy ransomware jako usługa innych grup; 3) BlackMatter zmieni nazwę na nowy program pod inną nazwą. Ponieważ organy ścigania depczą po piętach, jest bardziej prawdopodobne, że BlackMatter nie spieszy się, aby osiąść kurz z organów ścigania, ponownie opracować swoje narzędzia, a następnie ponownie pojawić się z nowym i ulepszonym ładunkiem.