attack på Colonial PipelineI meddelanden som erhållits av en medlem av vx-underground-gruppen har den produktiva BlackMatter ransomware-gruppen sagt att den stänger butiken på grund av ökat tryck från brottsbekämpande myndigheter.
Gruppen – som köpte en omdöpt version av DarkSide ransomware som användes för att attackera Colonial Pipeline tidigare i år – publicerade ett meddelande på sin privata ransomware-as-a-service-webbplats den 1 november där de sa att några medlemmar i gänget inte längre är tillgängliga ” efter “de senaste nyheterna.”
“På grund av vissa olösliga omständigheter i samband med påtryckningar från myndigheterna (en del av teamet är inte längre tillgänglig, efter de senaste nyheterna) — projektet är stängt,” skrev gruppen.
“Efter 48 timmar kommer hela infrastrukturen att stängas av, vilket tillåter: Ge e-post till företag för vidare kommunikation [och] Skaffa dekryptering. För detta skriv “ge en dekryptering” i företagets chatt, där det behövs. Vi önskar er all framgång, vi var glada över att jobba.”
Även om gruppen inte förklarade vad de menade med “de senaste nyheterna”, finns det en mängd olika historier kopplade till ransomware-gängets aktiviteter under de senaste två månaderna.
Efter att ha stängt butiken på grund av brottsbekämpande granskning efter attacken mot Colonial Pipeline i maj, återuppstod gruppen i juli under “BlackMatter”-fanan. De attackerade dussintals företag och CISA identifierade gruppen som förövarna av flera attacker mot jordbruksföretag inför skördar.
Förra veckan avslöjade Emsisofts vd Fabian Wosar att hans företag upptäckte ett fel i BlackMatter ransomware som tillåter dem att hjälpa offer att återställa alla sina filer. Gruppen kom så småningom på det och släppte en uppdaterad version av deras skadliga program, men Wosar antydde att de arbetade med brottsbekämpande myndigheter och andra för att hjälpa offren.
I onsdags rapporterade Washington Post att US Cyber Command och en utländsk regering var ansvariga för störningen av REvil ransomware-gruppen. Chattar från REvil-skådespelare sågs av tidningen och indikerar att gruppens ledare blev skrämda när de insåg att brottsbekämpande enheter var i deras system, vilket stängde verksamheten för andra gången i år.
Officerare från Europol arresterade också den ukrainska gruppen bakom ransomwarerna MegaCortex, Dharma och LockerGoga. De tolv personer som arresterades påstås ha begått mer än 1 800 ransomware-attacker på kritisk infrastruktur och stora organisationer runt om i världen.
Det enorma trycket som nu utsätts för ransomware-grupper noterades av general Paul Nakasone, chef för US Cyber Command.
“Jag är nöjd med de framsteg vi har gjort”, sa han, “och vi har mycket mer att göra”, sa han under ett tal på Aspen Security Forum på onsdagen.
Bleeping Computer rapporterade på onsdagseftermiddagen att BlackMatter-operatörer redan har börjat flytta över offer till LockBit ransomware-sajt så att de kan fortsätta att förhandla om lösen. Gruppen drar också ut kryptovaluta från hackingforumet Exploit och inaktiverar konton, enligt Bleeping Computer.
De flesta experter noterade snabbt att ransomware-grupper nu har gjort det till standardpraxis att stänga butiken och organisera om under ett nytt namn. Flera ransomware-grupper har gjort det, vissa flera gånger, så snart brottsbekämpande påtryckningar blir för mycket att hantera.
Xue Yin Peh, senior cyberhotsunderrättelseanalytiker på Digital Shadows, sa att DarkSide, Avaddon och Egregor bara är några exempel på grupper som lade ihop sin verksamhet efter efterverkningarna av en framträdande attack.
“Även om BlackMatters tillkännagivande skulle föreslå ett stopp i verksamheten, om vi tar hänsyn till tidigare händelser, finns det några möjligheter för BlackMatters framtid: Medlemmar eller affiliates ligger lågt under en period, förblir inaktiva medan de tar en paus från ransomware-aktiviteter och Medlem eller affiliates absorberas av andra gruppers ransomware-as-a-service-program, säger Yin Peh.
“Eller så kommer BlackMatter att ändra varumärket till ett nytt program under ett annat namn. Med tanke på hur mycket lukrativa ransomware-operationer är, är det osannolikt att de bakom BlackMatter kommer att upphöra med verksamheten helt. En eventuell omprofilering verkar mer trolig, men hur snart detta kommer att hända återstår att veta sett. Med ordningsmakten i hälarna är det mer troligt att BlackMatter kommer att ta sig tid att låta brottsbekämpande dammet lägga sig, återutveckla sina verktyg och sedan återuppstå med en ny och förbättrad nyttolast.”
Picus Securitys Dr. Süleyman Özarslan noterade att ransomware-gäng vanligtvis ändrar varumärken i sex månaders cykler.
Andra experter, som BreachQuest CTO Jake Williams, sa att bättre säkerhetskopior och andra förberedelser från offrens sida minskade lösensummorna i vissa fall, vilket tvingade ransomware-grupper att i allt högre grad förlita sig på dubbla utpressningsmetoder för att återfå hävstångseffekten.
“Skapandet av dataexfiltreringsverktyget visar att grupper inte bara är oroliga för att standardisera sina krypteringsoperationer, utan också sina utpressningsoperationer. Bara existensen av verktyget visar hur viktig den dubbla utpressningsprocessen har blivit för operatörer”, sa Williams.
“Vid denna tidpunkt är det inte klart om kärngruppens medlemmar är “otillgängliga” för att de är häktade eller helt enkelt har bestämt sig för att insatserna är för höga för att fortsätta verksamheten. Men anteckningen nämner specifikt lokalt brottsbekämpande påtryckningar, och det är ett tecken på att sabelras verkar hjälpa. Men vi bör inte glömma att på grund av en bugg i BlackMatter ransomware förlorade operatörer och affiliates miljoner i lösenbetalningar under den senaste månaden. Detta skadade redan relationerna med affiliates. Det är inte svårt att föreställa sig med tanke på den ansträngda verksamheten modell, kanske det inte krävs mycket press från myndigheterna för att BlackMatter-medlemmarna ska hänga upp sina hattar.”
Säkerhet
Det bästa nätfiskemålet? Din smartphone Varför du behöver denna säkerhetsnyckel på 29 $ FBI: Ransomware grupperar som knyter attacker till “väsentliga ekonomiska händelser” Signalen avslöjar hur långt amerikansk brottsbekämpning kommer att gå för att få folks information De 10 värsta hårdvarusäkerhetsbristerna 2021 Cybersecurity 101: Skydda din integritet från hackare , spioner, regeringen Regeringen | Säkerhets-TV | Datahantering | CXO | Datacenter