Програма-вимагальник BlackMatter нібито припиняє роботу через тиск правоохоронних органів
Як повідомляється, банда BlackMatter Ransomware припиняє всі свої операції через посилення тиску з боку місцевих правоохоронних органів.
Протягом 2021 року з'явилися й пішли в підпілля багато груп програм-вимагачів, у тому числі сумнозвісна група програм-вимагачів DarkSide. Угруповання перебувало під суворим розслідуванням з боку влади після нападу на американські трубопроводи.
Банда програм-вимагачів REvil також пішла в підпілля після нападу на кілька ІТ-організацій США. Після цього з’явилися дві групи програм-вимагачів, BlackMatter (імовірний ребрендинг DarkSide) і Haron, щоб скористатися перевагами захоплення програмним забезпеченням-вимагачем як послугою (RaaS).
BlackMatter оголошує про завершення роботи
Банда програм-вимагачів оголосила про свій план закрити всі свої операції на порталі Ransomware as a Service (RaaS), який зазвичай використовується кількома групами кіберзлочинців для реєстрації для доступу до штаму програм-вимагачів BlackMatter.
Повідомлення було отримано одним із членів групи vx-underground infosec, який переклав:
«У зв’язку з певними нерозв’язними обставинами, пов’язаними з тиском влади (частина команди вже недоступна, після останніх новин) — проект закритий».
«Через 48 годин вся інфраструктура буде відключена, що дозволить — Видавати пошту компаніям для подальшого зв’язку; Отримати дешифратор. Для цього в чаті компанії напишіть «дайте дешифратор», якщо це необхідно. Бажаємо всім успіхів, раді були працювати».
Заява BlackMatter російською та англійською мовами
Асоціація кібербезпеки досить скептично ставиться до закриття BlackMatter. Карл Вірн, керівник компанії Mimecast з електронних злочинів, вважає, що акторові загрози цілком неможливо припинити всі шкідливі дії.
Wearn сказав:
«Малоймовірно, що це буде кінець загрозливим акторам, які стоять за групою BlackMatter, і це виглядає як класичний ребрендинг або розкол… Багато злочинних організацій стверджують, що закриваються, намагаючись зменшити жар, щоб просто розколотися або повернутися після коротка перерва під іншою назвою»,
Стів Форбс, експерт з кібербезпеки уряду Номінет, заявив, що успішні кіберзлочинні угруповання, такі як BlackMatter, не можуть довго залишатися осторонь від кіберзлочинної діяльності і можуть повернутися через короткий період.
Він заявив:
«Будь-яка успішна злочинна група, така як BlackMatter, має значні кошти та ресурси, які дозволять їм заново винайти себе. Якщо зловмисники відчувають, що частина їхньої діяльності скомпрометована або що правоохоронні органи закриваються, вони, природно, захочуть якомога швидше відмежуватися від своєї існуючої діяльності та інфраструктури, але враховуючи прибуткову діяльність RaaS, ми, ймовірно, побачимо їх. з’явиться знову в найближчому майбутньому».
Попередні атаки BlackMatter
За даними Агентства з кібербезпеки та безпеки інфраструктури, BlackMatter вперше була помічена в липні як група RaaS, яка пропонує послуги філіям з кіберзлочинності, які потім здійснюють кіберзлочинні атаки на компанії.
Відомо, що внаслідок можливого ребрендингу групи DarkSide BlackMatter націлена на різні організації в США, вимагаючи викуп у розмірі від 80 000 до 15 мільйонів доларів. BlackMatter цього року атакував кілька американських компаній, у тому числі зернову компанію з Айови, вимагаючи програм-вимагачів у розмірі 5,9 мільйона доларів.
Однак групи програм-вимагачів зазвичай закриваються через інші проблеми, а не через тиск влади, як-от проблеми стосунків з філіями або технічні проблеми.
За словами технічного директора та співзасновника BreachQuest, Джейк Вільямс сказав:
«На даний момент не зрозуміло, чи члени основної групи «недоступні», тому що вони перебувають під вартою, чи просто вирішили, що ставки занадто високі, щоб продовжувати діяльність»,
«Але в записці конкретно згадується тиск місцевих правоохоронних органів, і це ознака того, що брязкання шаблями, схоже, допомагає».
Автори зображень: Hackread.com (Зображення з веб-сайту BlackMatter)
Williams також виявив проблему з програмним забезпеченням-вимагачем BlackMatter, яка в кінцевому підсумку минулого місяця коштувала його філіям та операторам кілька мільйонів . Таким чином, на BlackMatter не було б сильного тиску, щоб він закрився, оскільки група вже зашкодила своїм стосункам із дочірніми компаніями.
За словами новозеландської фірми, що займається кібербезпекою, Emsisoft, вона запобігла потраплянню «десятків мільйонів доларів» програм-вимагачів до банди BlackMatter. Після того, як у групі було виявлено значний недолік, Emsisoft допомогла жертвам банди відновити їхні зашифровані файли, не сплачуючи жодного викупу.
Аналітик загроз Emsisoft, Бретт Келлоу, згадав, що він вважає їхню кампанію розшифрування кінцем BlackMatter, але він уже не дуже впевнений.
За словами Каллоу:
«Неможливо сказати, чи буде це постійний вихід чи просто черговий ребрендинг»,
«Будемо сподіватися, що це колишній».
За словами старшого аналітика розвідки кіберзагроз із Digital Shadows Сюе Інь Пе:
«Хоча оголошення BlackMatter передбачало б зупинку операцій, якщо врахувати попередні події, є кілька можливостей щодо майбутнього BlackMatter»,
«1) Члени або афілійовані особи лежать на низькому рівні протягом певного періоду часу, залишаючись бездіяльними, перериваючись від програм-вимагачів; 2) Члени або філії поглинені програмами-вимагачами як послуга інших груп; 3) BlackMatter перейде в нову програму під іншою назвою. Оскільки правоохоронні органи йдуть назустріч, більш імовірно, що BlackMatter витратить час, щоб дати пилу правоохоронних органів осягнути, заново розробити свої інструменти, а потім знову з’явиться з новим та покращеним корисним навантаженням».