angreb på Colonial PipelineI beskeder modtaget af et medlem af vx-underground-gruppen har den produktive BlackMatter ransomware-gruppe sagt, at den lukker butikken på grund af øget pres fra politiet.
Gruppen – der sælger en omdøbt version af DarkSide ransomware, der blev brugt til at angribe Colonial Pipeline tidligere på året – postede en besked på sin private ransomware-as-a-service hjemmeside den 1. november, hvori de sagde, at nogle medlemmer af banden “ikke længere er tilgængelige” ” efter “de seneste nyheder.”
“På grund af visse uløselige omstændigheder forbundet med pres fra myndighederne (en del af teamet er ikke længere tilgængelig, efter de seneste nyheder) — projektet er lukket,” skrev gruppen.
“Efter 48 timer vil hele infrastrukturen være slukket, hvilket giver mulighed for: Udsende mail til virksomheder for yderligere kommunikation [og] Hent dekryptering. For dette skriv 'giv en dekryptering' inde i firmachatten, hvor det er nødvendigt. Vi ønsker jer al held og lykke, vi var glade for at arbejde.”
Selvom gruppen ikke forklarede, hvad de mente med “de seneste nyheder”, er der en række historier knyttet til ransomware-bandens aktiviteter i løbet af de sidste to måneder.
Efter at have lukket butikken for behørig retshåndhævelseskontrol efter angrebet på Colonial Pipeline i maj, genopstod gruppen i juli under “BlackMatter”-banneret. De angreb dusinvis af virksomheder, og CISA identificerede gruppen som gerningsmændene til flere angreb på landbrugsvirksomheder forud for høsten.
I sidste uge afslørede Emsisoft CEO Fabian Wosar, at hans firma opdagede en fejl i BlackMatter ransomware, der tillod dem at hjælpe ofre med at gendanne alle deres filer. Gruppen fandt til sidst ud af det og udgav en opdateret version af deres malware, men Wosar antydede, at de arbejdede med retshåndhævende myndigheder og andre for at hjælpe ofrene.
I onsdags rapporterede Washington Post, at US Cyber Command og en udenlandsk regering var ansvarlige for afbrydelsen af REvil ransomware-gruppen. Chats fra REvil-skuespillere blev set af avisen og indikerer, at gruppens ledere var forskrækkede, da de indså, at retshåndhævende enheder var i deres system, og lukkede for anden gang i år.
Officerer fra Europol arresterede også den ukrainske gruppe bag MegaCortex, Dharma og LockerGoga løsepenge. De tolv personer, der blev anholdt, har angiveligt udført mere end 1.800 ransomware-angreb på kritisk infrastruktur og store organisationer rundt om i verden.
Det enorme pres, som ransomware-grupper nu står over for, blev bemærket af general Paul Nakasone, leder af US Cyber Command.
“Jeg er glad for de fremskridt, vi har gjort,” sagde han, “og vi har meget mere at gøre,” sagde han under en tale på Aspen Security Forum onsdag.
Bleeping Computer rapporterede onsdag eftermiddag, at BlackMatter-operatører allerede er begyndt at flytte ofre over til LockBit ransomware-siden, så de kan fortsætte med at forhandle løsesummer. Gruppen trækker også kryptovaluta ud af hackingforumet Exploit og deaktiverer konti, ifølge Bleeping Computer.
De fleste eksperter var hurtige til at bemærke, at ransomware-grupper nu har gjort det til en standardpraksis at lukke butikken og omorganisere under et nyt navn. Flere ransomware-grupper har gjort det, nogle flere gange, så snart politiets pres bliver for meget at håndtere.
Xue Yin Peh, senior efterretningsanalytiker for cybertrusler hos Digital Shadows, sagde, at DarkSide, Avaddon og Egregor blot er nogle eksempler på grupper, der foldede deres operationer efter eftervirkningerne af et fremtrædende angreb.
“Selvom BlackMatters meddelelse ville foreslå et stop i driften, hvis vi overvejer tidligere begivenheder, er der et par muligheder med hensyn til fremtiden for BlackMatter: Medlemmer eller tilknyttede selskaber ligger lavt i en periode, forbliver inaktive, mens de tager en pause fra ransomware-aktiviteter og Medlem eller tilknyttede selskaber er optaget af andre gruppers ransomware-as-a-service-programmer,” sagde Yin Peh.
“Eller, BlackMatter vil omdanne til et nyt program under et andet navn. I betragtning af hvor meget lukrative ransomware-operationer er, er det usandsynligt, at dem, der står bag BlackMatter, helt vil ophøre med driften. En eventuel rebranding virker mere sandsynlig, men hvor hurtigt dette vil ske er endnu uvist. set. Med ordensmagten i hælene, er det mere sandsynligt, at BlackMatter vil tage sig tid til at lade ordenshåndhævelsesstøvet lægge sig, genudvikle deres værktøjer og derefter genopstå med en ny og forbedret nyttelast.”
Picus Securitys Dr. Süleyman Özarslan bemærkede, at ransomware-bander typisk rebrand i 6-måneders cyklusser.
Andre eksperter, som BreachQuest CTO Jake Williams, sagde, at bedre sikkerhedskopiering og anden forberedelse fra ofrenes side i nogle tilfælde sænkede løsesumsbetalingssatserne, hvilket tvang ransomware-grupper til i stigende grad at stole på dobbeltafpresningsmetoder for at genvinde gearingen.
“Oprettelsen af dataeksfiltreringsværktøjet viser, at grupper ikke kun er bekymrede for at standardisere deres krypteringsoperationer, men også deres afpresningsoperationer. Alene eksistensen af værktøjet viser, hvor vigtig den dobbelte afpresningsprocessen er blevet for operatører,” sagde Williams.
“På nuværende tidspunkt er det ikke klart, om kernegruppens medlemmer er 'utilgængelige', fordi de er varetægtsfængslet eller simpelthen har besluttet, at indsatsen er for høj til at fortsætte driften. Men notatet nævner specifikt det lokale retshåndhævende pres, og det er et tegn på, at sabelraslen ser ud til at hjælpe. Men vi bør ikke glemme, at på grund af en fejl i BlackMatter ransomware, mistede operatører og tilknyttede selskaber millioner i løsesumsbetalinger i den sidste måned. Dette skadede allerede forholdet til tilknyttede selskaber. Det er ikke svært at forestille sig i betragtning af de anstrengte operationer model, kræver det måske ikke meget pres fra myndighederne for kerne-BlackMatter-medlemmer at hænge deres hatte op.”
Sikkerhed
Det bedste phishing-mål? Din smartphone Hvorfor har du brug for denne sikkerhedsnøgle til $29 FBI: Ransomware grupperer, der binder angreb til 'betydelige økonomiske begivenheder' Signal afslører, hvor langt amerikansk retshåndhævelse vil gå for at få folks information De 10 værste hardwaresikkerhedsfejl i 2021 Cybersecurity 101: Beskyt dit privatliv mod hackere , spioner, regeringen Regeringen | Sikkerheds-tv | Datastyring | CXO | Datacentre