A gangue BlackMatter Ransomware está encerrando todas as suas operações devido ao aumento da pressão das autoridades locais.
Muitos grupos de ransomware apareceram e ficaram clandestinos em 2021, incluindo o infame grupo de ransomware DarkSide. O grupo estava sob severa investigação das autoridades depois de atacar os oleodutos dos EUA.
A gangue do ransomware REvil também se tornou clandestina depois de atacar várias organizações de TI dos EUA. Depois disso, surgiram dois grupos de ransomware, BlackMatter (uma suposta nova marca do DarkSide) e Haron, para aproveitar a mania do Ransomware as a Service (RaaS).
BlackMatter anuncia seu desligamento
A gangue do ransomware declarou seu plano de fechar todas as suas operações no portal do Ransomware as a Service (RaaS), geralmente usado por vários grupos de cibercriminosos para se registrar para acesso à cepa de ransomware BlackMatter.
A mensagem foi obtida por um dos membros do grupo vx-underground infosec que traduziu:
“Devido a certas circunstâncias insolúveis associadas à pressão das autoridades (parte da equipe não está mais disponível, após as últimas notícias) – o projeto está fechado."
“Após 48 horas, toda a infraestrutura será desativada, permitindo — Emitir correio para as empresas para comunicação posterior; Obter descriptografador. Para isso escreva ‘dar um decodificador' dentro do chat da empresa, quando necessário. Desejamos a todos sucesso, ficamos felizes em trabalhar.”
Declaração da BlackMatter em russo e inglês
A associação de segurança cibernética é bastante cética em relação ao desligamento do BlackMatter. Carl Wearn, chefe de crimes eletrônicos da Mimecast, acredita que é quase impossível para o agente da ameaça encerrar todas as atividades maliciosas.
Wearn disse:
“É altamente improvável que este seja o fim dos atores de ameaças por trás do grupo BlackMatter, e isso parece um clássico rebrand ou fragmentação… Muitas organizações criminosas afirmam fechar na tentativa de reduzir o calor, apenas fragmentar ou retornar um breve hiato sob um nome diferente”,
Steve Forbes, especialista em segurança cibernética do governo Nominet, declarou que gangues de cibercriminosos de sucesso como BlackMatter não podem ficar longe das atividades cibercriminosas por muito tempo e podem retornar após um breve período.
Ele declarou:
“Qualquer grupo criminoso de sucesso como o BlackMatter possui fundos e recursos consideráveis que permitirão que eles se reinventem. Se os criminosos sentirem que parte de sua operação está comprometida ou que a aplicação da lei está se aproximando, eles naturalmente desejarão se distanciar de suas atividades e infraestrutura existentes o mais rápido possível, mas, dada a atividade lucrativa do RaaS, é provável que os vejamos reaparecer em um futuro próximo.”
Ataques anteriores da BlackMatter
De acordo com a Agência de Segurança Cibernética e Infraestrutura, a BlackMatter foi notada pela primeira vez em julho como um grupo RaaS que oferece provisões para afiliados de crimes cibernéticos que realizam ataques de crimes cibernéticos contra empresas.
Com um possível rebranding do grupo DarkSide, a BlackMatter é conhecida por atingir várias organizações nos EUA, exigindo resgates que variam entre US$ 80.000 a US$ 15 milhões. A BlackMatter atacou várias empresas dos EUA este ano, incluindo a empresa de grãos com sede em Iowa, exigindo ransomware de US$ 5,9 milhões.
No entanto, é comum que os grupos de ransomware sejam encerrados devido a problemas que não sejam a pressão das autoridades, como problemas de relacionamento com afiliados ou problemas técnicos.
De acordo com o CTO e cofundador da BreachQuest, Jake Williams disse:
“Neste momento, não está claro se os membros do grupo principal estão ‘indisponíveis' porque estão sob custódia ou simplesmente decidiram que os riscos são muito altos para continuar as operações”,
“Mas a nota menciona especificamente a pressão policial local, e isso é um sinal de que o barulho do sabre parece estar ajudando.”
Créditos da imagem: Hackread.com (Uma imagem do site da BlackMatter)
Williams também revelou um problema no ransomware da BlackMatter que acabou custando alguns milhões a seus afiliados e operadores no mês passado. Portanto, não haveria muita pressão sobre a BlackMatter para fechar, pois o grupo já havia prejudicado seu relacionamento com as afiliadas.
De acordo com uma empresa de segurança cibernética sediada na Nova Zelândia, Emsisoft, ele impediu que “dezenas de milhões de dólares” de ransomware chegassem à gangue BlackMatter. Depois que uma falha significativa foi revelada no grupo, a Emsisoft ajudou as vítimas da gangue a recuperar seus arquivos criptografados sem pagar nenhum resgate.
Um analista de ameaças da Emsisoft, Brett Callow, mencionou que considerava sua campanha de descriptografia o fim do BlackMatter, mas ele não tem mais certeza.
De acordo com Callow:
“É impossível dizer se esta será uma saída permanente ou simplesmente outra mudança de marca”
“Vamos torcer para que seja o primeiro.”
De acordo com um analista sênior de inteligência de ameaças cibernéticas da Digital Shadows, Xue Yin Peh:
“Embora o anúncio da BlackMatter sugira uma interrupção nas operações, se considerarmos os eventos anteriores, existem algumas possibilidades quanto ao futuro da BlackMatter”,
“1) Membros ou afiliados permanecem inativos por um período de tempo, permanecendo inativos enquanto fazem uma pausa nas atividades de ransomware; 2) Os membros ou afiliados são absorvidos pelos programas de ransomware como serviço de outros grupos; 3) BlackMatter será renomeado em um novo programa com outro nome. Com a aplicação da lei em seu encalço, é mais provável que a BlackMatter leve um tempo para deixar a poeira da polícia assentar, re-desenvolver suas ferramentas e, em seguida, ressurgir com uma carga útil nova e aprimorada. “