Сообщается, что банда BlackMatter Ransomware прекращает все свои операции из-за усиления давления со стороны местных правоохранительных органов.
Многие группы программ-вымогателей появились и ушли в подполье в течение 2021 года, в том числе печально известная группа программ-вымогателей DarkSide. Группа находилась под пристальным расследованием со стороны властей после нападения на трубопроводы США.
Банда вымогателей REvil также ушла в подполье после атаки на несколько американских ИТ-организаций. После этого появились две группы вымогателей, BlackMatter (предполагаемый ребрендинг DarkSide) и Haron, чтобы воспользоваться повальным увлечением программами-вымогателями как услугой (RaaS).
BlackMatter объявляет о закрытии
Банда вымогателей объявила о своем плане закрыть все свои операции на портале Ransomware as a Service (RaaS), который обычно используется несколькими киберпреступными группами для регистрации для доступа к штамму вымогателей BlackMatter.
Сообщение было получено одним из членов группы информационной безопасности vx-underground, который перевел:
«В связи с некоторыми неразрешимыми обстоятельствами, связанными с давлением властей (часть команды уже недоступна, после последних новостей) — проект закрыт».
«Через 48 часов вся инфраструктура будет отключена, что позволит — Выдать почту компаниям для дальнейшего общения; Получить расшифровщик. Для этого напишите «дайте расшифровщик» в чате компании, где это необходимо. Желаем вам успехов, мы были рады работать».
Заявление BlackMatter на русском и английском языках
Ассоциация кибербезопасности весьма скептически относится к закрытию BlackMatter. Карл Вирн, глава Mimecast по борьбе с электронными преступлениями, считает, что злоумышленнику совершенно невозможно прекратить все вредоносные действия.
Верн сказал:
«Маловероятно, что это конец агентов угрозы, стоящих за группой BlackMatter, и это выглядит как классический ребрендинг или раскол… Многие преступные организации заявляют, что закрылись в попытке уменьшить накал, просто чтобы расколоться или вернуться после короткий перерыв под другим именем».
Стив Форбс, эксперт по кибербезопасности правительства Nominet, заявил, что успешные киберпреступные группировки, такие как BlackMatter, не могут долго оставаться в стороне от киберпреступной деятельности и могут вернуться после короткого периода времени.
Он заявил:
«Любая успешная преступная группа, такая как BlackMatter, имеет значительные средства и ресурсы, которые позволят им заново изобрести себя. Если преступники чувствуют, что часть их операций скомпрометирована или что правоохранительные органы приближаются, они, естественно, захотят как можно быстрее дистанцироваться от своей существующей деятельности и инфраструктуры, но, учитывая прибыльную деятельность RaaS, мы, вероятно, увидим их. появится в ближайшем будущем».
Предыдущие атаки BlackMatter
По данным Агентства по кибербезопасности и безопасности инфраструктуры, BlackMatter впервые была замечена в июле как группа RaaS, которая предлагает условия для аффилированных лиц, занимающихся киберпреступностью, которые затем организуют кибератаки против компаний.
Известно, что в связи с возможным ребрендингом группы DarkSide BlackMatter нацеливается на различные организации в США, требуя выкуп в размере от 80 000 до 15 миллионов долларов. В этом году BlackMatter атаковала несколько американских компаний, в том числе зерновую компанию из Айовы, потребовав вымогателей на сумму 5,9 млн долларов.
Тем не менее, группы вымогателей часто закрываются из-за проблем, отличных от давления со стороны властей, таких как проблемы во взаимоотношениях с аффилированными лицами или технические проблемы.
По словам технического директора и соучредителя BreachQuest Джейка Уильямса, он сказал:
«На данный момент неясно, являются ли члены основной группы «недоступными» из-за того, что они находятся под стражей, или просто решили, что ставки слишком высоки для продолжения операций»,
«Но в записке конкретно упоминается давление местных правоохранительных органов, и это признак того, что бряцание оружием, похоже, помогает».
Кредиты изображений: Hackread.com (изображение с веб-сайта BlackMatter)
Уильямс также сообщил о проблеме с программой-вымогателем BlackMatter, которая в прошлом месяце обошлась ее филиалам и операторам в несколько миллионов долларов. Таким образом, на BlackMatter не было бы большого давления, чтобы закрыться, поскольку группа уже испортила свои отношения с аффилированными лицами.
По данным новозеландской фирмы по кибербезопасности Emsisoft, она предотвратила попадание программ-вымогателей на «десятки миллионов долларов» в банду BlackMatter. После того, как в группе была обнаружена существенная уязвимость, Emsisoft помогла жертвам банды восстановить их зашифрованные файлы без уплаты выкупа.
Бретт Кэллоу, аналитик угроз из Emsisoft, упомянул, что считает их кампанию по расшифровке концом BlackMatter, но больше в этом не уверен.
По словам Кэллоу:
«Невозможно сказать, будет ли это постоянный выход или просто очередной ребрендинг»,
— Будем надеяться, что первое.
По словам старшего аналитика Digital Shadows по киберугрозам Сюэ Инь Пэ:
«Хотя объявление BlackMatter предполагает остановку операций, если мы рассмотрим предыдущие события, есть несколько возможностей относительно будущего BlackMatter»,
«1) Члены или аффилированные лица затаились в течение определенного периода времени, оставаясь бездействующими, делая перерыв в деятельности программ-вымогателей; 2) участники или аффилированные лица поглощаются программами-вымогателями как услугой других групп; 3) BlackMatter переименуется в новую программу под другим названием. Поскольку правоохранительные органы идут им по пятам, более вероятно, что BlackMatter не торопится, чтобы дать пыли правоохранительным органам осесть, заново разработать свои инструменты, а затем снова появиться с новой и улучшенной полезной нагрузкой ».