BlackMatter Ransomware-gänget har enligt uppgift upphört med all sin verksamhet på grund av ökat tryck från de lokala tillsynsmyndigheterna.
Många ransomware-grupper dök upp och gick under jorden under 2021, inklusive den ökända DarkSide ransomware-gruppen. Gruppen var under allvarlig utredning från myndigheterna efter att ha attackerat US Pipelines.
REvil ransomware-gänget gick också under jorden efter att ha attackerat flera amerikanska IT-organisationer. Efter detta uppstod två ransomware-grupper, BlackMatter (en påstådd ommärkning av DarkSide) och Haron, för att dra fördel av Ransomware as a Service (RaaS) vurm.
BlackMatter tillkännager sin avstängning
Ransomware-gänget deklarerade sin plan att stänga all sin verksamhet på portalen för Ransomware as a Service (RaaS), som vanligtvis används av flera cyberkriminella grupper för att registrera sig för åtkomst till BlackMatter-ransomware-stammen.
Meddelandet erhölls av en av vx-underground infosec-gruppmedlemmarna som översatte:
"På grund av vissa olösliga omständigheter i samband med påtryckningar från myndigheterna (en del av teamet är inte längre tillgänglig, efter de senaste nyheterna) – projektet är stängt."
"Efter 48 timmar kommer hela infrastrukturen att stängas av, vilket gör det möjligt – Ge e-post till företag för vidare kommunikation; Skaffa dekryptering. För detta skriv "ge en dekryptering" i företagets chatt, där det behövs. Vi önskar er all framgång, vi var glada över att jobba."
BlackMatters uttalande på ryska och engelska
Cybersäkerhetsföreningen är ganska skeptisk till nedläggningen av BlackMatter. Carl Wearn, e-brottschefen för Mimecast, tror att det är ganska omöjligt för hotaktören att sluta med alla skadliga aktiviteter.
Wearn sa:
"Det här är högst osannolikt slutet på hotaktörerna bakom BlackMatter-gruppen, och det här ser ut som ett klassiskt varumärke eller splittring… Många kriminella organisationer hävdar att de lägger ner i ett försök att minska värmen, bara för att splittras eller återvända efter en kort paus under ett annat namn."
Steve Forbes, cybersäkerhetsexpert från Nominet-regeringen, förklarade att framgångsrika cyberkriminella gäng som BlackMatter inte kan hålla sig borta från cyberkriminella aktiviteter länge och kan komma tillbaka efter en kort period.
Han förklarade:
"Varje framgångsrik kriminell grupp som BlackMatter har betydande medel och resurser som gör det möjligt för dem att återuppfinna sig själva. Om brottslingarna känner att en del av deras verksamhet äventyras eller att brottsbekämpande myndigheter närmar sig kommer de naturligtvis att vilja ta avstånd från sin befintliga verksamhet och infrastruktur så snabbt som möjligt, men med tanke på RaaS lukrativa verksamhet kommer vi sannolikt att se dem dyka upp igen inom en snar framtid."
BlackMatters tidigare attacker
Enligt Cybersecurity and Infrastructure Security Agency uppmärksammades BlackMatter först i juli som en RaaS-grupp som erbjuder bestämmelser till cyberbrottsorganisationer som sedan iscensätter cyberbrottsattacker mot företag.
Med en eventuell omprofilering av DarkSide-gruppen har BlackMatter varit känd för att rikta in sig på olika organisationer i USA, och kräva lösen på mellan 80 000 och 15 miljoner dollar. BlackMatter har attackerat flera amerikanska företag i år, inklusive det Iowa-baserade spannmålsföretaget, och krävt ransomware på 5,9 miljoner dollar.
Det är dock vanligt att ransomware-grupper stängs av på grund av andra frågor än myndigheters påtryckningar, som relationsproblem med affiliates eller tekniska problem.
Enligt CTO och medgrundare av BreachQuest sa Jake Williams:
"I nuläget är det inte klart om kärngruppens medlemmar är ‘otillgängliga' för att de är häktade eller helt enkelt har beslutat att insatserna är för höga för att fortsätta verksamheten,"
"Men anteckningen nämner specifikt lokala brottsbekämpande påtryckningar, och det är ett tecken på att sabelras verkar hjälpa."
Bildkrediter: Hackread.com (En bild från BlackMatters webbplats)
Williams avslöjade också ett problem i BlackMatters ransomware som slutade kosta dess affiliates och operatörer några miljoner förra månaden. Därför skulle det inte ha varit någon större press på BlackMatter att lägga ner eftersom gruppen redan hade skadat sin relation med medlemsförbunden.
Enligt ett Nya Zeeland-baserat cybersäkerhetsföretag, Emsisoft, har det förhindrat "tiotals miljoner dollar" av ransomware från att nå BlackMatter-gänget. Efter att ett betydande fel avslöjats i gruppen hjälpte Emsisoft gängets offer att återställa sina krypterade filer utan att betala någon lösensumma.
En hotanalytiker från Emsisoft, Brett Callow, nämnde att han ansåg att deras dekrypteringskampanj var slutet på BlackMatter, men han är inte så säker längre.
Enligt Callow:
"Det är omöjligt att säga om det här kommer att bli en permanent exit eller bara ett nytt varumärke,"
"Låt oss hoppas att det är den förra."
Enligt en senior cyberhotsunderrättelseanalytiker från Digital Shadows, Xue Yin Peh:
"Även om BlackMatters tillkännagivande skulle föreslå ett stopp i verksamheten, om vi tar hänsyn till tidigare händelser, finns det några möjligheter för BlackMatters framtid,"
"1) Medlemmar eller affiliates ligger lågt under en period och förblir inaktiva medan de tar en paus från ransomware-aktiviteter; 2) Medlemmar eller affiliates absorberas av andra gruppers ransomware-as-a-service-program; 3) BlackMatter kommer att ändra varumärket till ett nytt program under ett annat namn. Med brottsbekämpning i hälarna är det mer troligt att BlackMatter kommer att ta sig tid att låta brottsbekämpande dammet lägga sig, återutveckla sina verktyg och sedan återuppstå med en ny och förbättrad nyttolast.”