aanval op koloniale pijplijn In berichten die zijn verkregen door een lid van de vx-underground-groep, heeft de productieve BlackMatter-ransomwaregroep gezegd dat het de winkel sluit vanwege de toegenomen druk van de wetshandhaving.
De groep – die een rebranded versie van de DarkSide ransomware gebruikt om Colonial Pipeline eerder dit jaar aan te vallen – plaatste op 1 november een bericht op haar privé ransomware-as-a-service website waarin stond dat sommige leden van de bende “niet langer beschikbaar zijn” ” na “het laatste nieuws.”
“Vanwege bepaalde onoplosbare omstandigheden die verband houden met druk van de autoriteiten (een deel van het team is niet meer beschikbaar, na het laatste nieuws) — project is gesloten,” de groep schreef.
“Na 48 uur zal de volledige infrastructuur worden uitgeschakeld, wat het volgende mogelijk maakt: Mail naar bedrijven sturen voor verdere communicatie [en] Ontvang decryptor. Schrijf hiervoor 'geef een decryptor' in de bedrijfschat, waar nodig. We wensen je alle succes, we waren blij om te werken.”
Hoewel de groep niet heeft uitgelegd wat ze bedoelden met 'het laatste nieuws', zijn er verschillende verhalen die verband houden met de activiteiten van de ransomwarebende van de afgelopen twee maanden.
Na het sluiten van de winkel vanwege wetshandhaving na de aanval op Colonial Pipeline in mei, kwam de groep in juli weer tevoorschijn onder de vlag van “BlackMatter”. Ze vielen tientallen bedrijven aan en CISA identificeerde de groep als de daders van meerdere aanvallen op landbouwbedrijven voorafgaand aan de oogst.
Vorige week onthulde Fabian Wosar, CEO van Emsisoft, dat zijn bedrijf een fout ontdekte in de BlackMatter-ransomware waardoor ze slachtoffers konden helpen al hun bestanden te herstellen. De groep kwam er uiteindelijk achter en bracht een bijgewerkte versie van hun malware uit, maar Wosar liet doorschemeren dat ze samenwerkten met wetshandhavingsinstanties en anderen om slachtoffers te helpen.
Woensdag meldde de Washington Post dat het US Cyber Command en een buitenlandse regering verantwoordelijk waren voor de verstoring van de REvil ransomware-groep. Chats van REvil-acteurs werden door de krant gezien en geven aan dat de leiders van de groep geschrokken waren toen ze zich realiseerden dat er wetshandhavingsinstanties in hun systeem zaten, waardoor de operaties voor de tweede keer dit jaar werden stopgezet.
Officieren van Europol arresteerden ook de Oekraïense groep achter de MegaCortex-, Dharma- en LockerGoga-ransomware. De twaalf gearresteerde personen zouden meer dan 1.800 ransomware-aanvallen hebben gepleegd op kritieke infrastructuur en grote organisaties over de hele wereld.
De immense hoeveelheid druk waarmee ransomwaregroepen nu worden geconfronteerd, werd opgemerkt door generaal Paul Nakasone, hoofd van het US Cyber Command.
“Ik ben blij met de vooruitgang die we hebben geboekt,” zei hij, “en we hebben nog veel meer te doen”, zei hij woensdag tijdens een toespraak op het Aspen Security Forum.
Bleeping Computer meldde woensdagmiddag dat BlackMatter-operators al zijn begonnen met het verplaatsen van slachtoffers naar de LockBit-ransomwaresite, zodat ze kunnen blijven onderhandelen over losgeld. De groep haalt volgens Bleeping Computer ook cryptocurrency uit het Exploit-hackforum en deactiveert accounts.
De meeste experts merkten snel op dat ransomware-groepen het nu een standaardpraktijk hebben gemaakt om de winkel te sluiten en te reorganiseren onder een nieuwe naam. Meerdere ransomware-groepen hebben het gedaan, sommige meerdere keren, zodra de druk van de wetshandhaving te groot wordt om aan te pakken.
Xue Yin Peh, senior cyberthreat intelligence-analist bij Digital Shadows, zei dat DarkSide, Avaddon en Egregor slechts enkele voorbeelden zijn van groepen die hun activiteiten stopzetten na de gevolgen van een prominente aanval.
“Hoewel de aankondiging van BlackMatter zou suggereren dat de activiteiten moeten worden stopgezet, zijn er, als we kijken naar eerdere gebeurtenissen, een paar mogelijkheden met betrekking tot de toekomst van BlackMatter: leden of gelieerde ondernemingen liggen een tijdje stil, blijven inactief terwijl ze een pauze nemen van ransomware-activiteiten en Leden of filialen gaan op in de ransomware-as-a-service-programma's van andere groepen”, zei Yin Peh.
“Of BlackMatter zal rebranden in een nieuw programma onder een andere naam. Gezien hoe zeer lucratieve ransomware-operaties zijn, is het onwaarschijnlijk dat degenen achter BlackMatter de operaties volledig zullen staken. Een eventuele rebranding lijkt waarschijnlijker, maar hoe snel dit zal gebeuren, valt nog te bezien gezien. Nu de wetshandhavers hen op de hielen zitten, is het waarschijnlijker dat BlackMatter de tijd neemt om het stof van de wetshandhavers te laten bezinken, hun tools opnieuw te ontwikkelen en dan weer tevoorschijn komt met een nieuwe en verbeterde lading.”
Dr. Süleyman Özarslan van Picus Security merkte op dat ransomware-bendes doorgaans een rebranding ondergaan in cycli van zes maanden.
Andere experts, zoals BreachQuest CTO Jake Williams, zeiden dat betere back-ups en andere voorbereiding door slachtoffers in sommige gevallen de losgeldbetalingen deden dalen, waardoor ransomware-groepen steeds meer moesten vertrouwen op dubbele afpersingsmethoden om hun hefboomwerking terug te winnen.
“De creatie van de tool voor gegevensexfiltratie laat zien dat groepen zich niet alleen zorgen maken over het standaardiseren van hun versleutelingsoperaties, maar ook over hun afpersingsoperaties. Alleen al het bestaan van de tool laat zien hoe belangrijk het proces van dubbele afpersing is geworden voor exploitanten”, aldus Williams.
“Op dit moment is het niet duidelijk of leden van de kerngroep 'onbeschikbaar' zijn omdat ze in hechtenis zitten of simpelweg hebben besloten dat de inzet te hoog is om de operaties voort te zetten. lijkt te helpen. Maar we mogen niet vergeten dat als gevolg van een bug in BlackMatter-ransomware, operators en aangesloten bedrijven de afgelopen maand miljoenen aan losgeld hebben verloren. Dit schaadde de relaties met aangesloten bedrijven al. Het is niet moeilijk voor te stellen gezien de gespannen operaties model, is er misschien niet veel druk van de autoriteiten nodig voor de belangrijkste BlackMatter-leden om hun hoed op te hangen.”
Beveiliging
Het beste phishing-doelwit? Je smartphone Waarom je deze beveiligingssleutel van $ 29 nodig hebt FBI: Ransomware-groepen koppelen aanvallen aan 'belangrijke financiële gebeurtenissen' Signaal onthult hoe ver de Amerikaanse wetshandhavers gaan om informatie van mensen te krijgen De 10 ergste hardware-beveiligingsfouten in 2021 Cybersecurity 101: bescherm je privacy tegen hackers , spionnen, de overheid Overheid | Beveiliging TV | Gegevensbeheer | CXO | Datacenters