angrep på Colonial PipelineI meldinger innhentet av et medlem av vx-underground-gruppen, har den produktive BlackMatter-ransomware-gruppen sagt at den stenger butikken på grunn av økt press fra politiet.
Gruppen – som selger en rebranded versjon av DarkSide løsepengevaren som ble brukt til å angripe Colonial Pipeline tidligere i år – la ut en melding på sin private ransomware-as-a-service-nettside 1. november hvor de sa at noen medlemmer av gjengen ikke lenger er tilgjengelige. ” etter “de siste nyhetene.”
“På grunn av visse uløselige omstendigheter knyttet til press fra myndighetene (en del av teamet er ikke lenger tilgjengelig, etter siste nytt) — prosjektet er stengt,” skrev gruppen.
“Etter 48 timer vil hele infrastrukturen bli slått av, noe som tillater: Utstede e-post til selskaper for videre kommunikasjon [og] Skaff dekryptering. For dette skriv 'gi en dekryptering' inne i selskapets chat, der det er nødvendig. Vi ønsker deg all suksess, vi var glad for å jobbe.”
Selv om gruppen ikke forklarte hva de mente med «de siste nyhetene», er det en rekke historier knyttet til løsepengegjengens aktiviteter de siste to månedene.
Etter å ha stengt butikken for rettshåndhevelseskontroll etter angrepet på Colonial Pipeline i mai, dukket gruppen opp igjen i juli under “BlackMatter”-banneret. De angrep dusinvis av selskaper og CISA identifiserte gruppen som gjerningsmennene til flere angrep på landbruksbedrifter i forkant av høstingen.
Forrige uke avslørte Emsisofts administrerende direktør Fabian Wosar at selskapet hans oppdaget en feil i BlackMatter løsepengevare som tillater dem å hjelpe ofre med å gjenopprette alle filene sine. Gruppen fant til slutt ut av det og ga ut en oppdatert versjon av skadevare, men Wosar antydet at de jobbet med rettshåndhevelsesbyråer og andre for å hjelpe ofrene.
Onsdag rapporterte Washington Post at US Cyber Command og en utenlandsk regjering var ansvarlig for forstyrrelsen av REvil løsepengevaregruppen. Chatter fra REvil-skuespillere ble sett av avisen og indikerer at gruppens ledere ble skremt når de skjønte at rettshåndhevelsesenheter var i systemet deres, og la ned operasjoner for andre gang i år.
Offiserer fra Europol arresterte også den ukrainske gruppen bak løsepengevarene MegaCortex, Dharma og LockerGoga. De tolv personene som ble arrestert, skal ha utført mer enn 1800 løsepenge-angrep på kritisk infrastruktur og store organisasjoner rundt om i verden.
Det enorme presset som nå står overfor løsepengevaregrupper ble notert av general Paul Nakasone, sjef for US Cyber Command.
“Jeg er fornøyd med fremgangen vi har gjort,” sa han, “og vi har mye mer å gjøre,” sa han under en tale på Aspen Security Forum onsdag.
Bleeping Computer rapporterte onsdag ettermiddag at BlackMatter-operatører allerede har begynt å flytte ofre over til LockBit løsepenge-side slik at de kan fortsette å forhandle løsepenger. Gruppen trekker også kryptovaluta ut av hackingforumet Exploit og deaktiverer kontoer, ifølge Bleeping Computer.
De fleste eksperter var raske til å merke seg at løsepengevaregrupper nå har gjort det til en standard praksis å stenge butikken og omorganisere under et nytt navn. Flere løsepengevaregrupper har gjort det, noen flere ganger, så snart presset fra politiet blir for mye å håndtere.
Xue Yin Peh, senior etterretningsanalytiker for cybertrusler i Digital Shadows, sa at DarkSide, Avaddon og Egregor bare er noen eksempler på grupper som har slått sammen sine operasjoner etter ettervirkningene av et fremtredende angrep.
“Selv om BlackMatters kunngjøring antyder en stans i driften, hvis vi vurderer tidligere hendelser, er det noen få muligheter for fremtiden til BlackMatter: Medlemmer eller tilknyttede selskaper ligger lavt i en periode, forblir inaktive mens de tar en pause fra løsepengevareaktiviteter og Medlem eller tilknyttede selskaper blir absorbert i løsepengevare-som-en-tjeneste-programmene til andre grupper,” sa Yin Peh.
“Eller, BlackMatter vil rebrande til et nytt program under et annet navn. Gitt hvor svært lukrative løsepengevareoperasjoner er, er det usannsynlig at de som står bak BlackMatter vil avslutte driften helt. En eventuell rebranding virker mer sannsynlig, men hvor raskt dette vil skje gjenstår å vite. sett. Med rettshåndhevelse i hælene, er det mer sannsynlig at BlackMatter vil ta seg tid til å la ordenshåndhevelsesstøvet legge seg, re-utvikle verktøyene deres og deretter dukke opp igjen med en ny og forbedret nyttelast.”
Picus Securitys Dr. Süleyman Özarslan bemerket at løsepengevaregjenger vanligvis endrer merkevare i løpet av 6-måneders sykluser.
Andre eksperter, som BreachQuest CTO Jake Williams, sa at bedre sikkerhetskopiering og andre forberedelser fra ofrene reduserte løsepengerbetalingsraten i noen tilfeller, og tvang løsepengevaregrupper til i økende grad å stole på doble utpressingsmetoder for å gjenvinne innflytelsen.
“Opprettelsen av dataeksfiltreringsverktøyet viser at grupper ikke bare er bekymret for å standardisere krypteringsoperasjonene sine, men også deres utpressingsoperasjoner. Bare eksistensen av verktøyet viser hvor viktig den doble utpressingsprosessen har blitt for operatører,” sa Williams.
“På dette tidspunktet er det ikke klart om kjernegruppens medlemmer er “utilgjengelige” fordi de er i varetekt eller rett og slett har bestemt seg for at innsatsen er for høy til å fortsette driften. Men notatet nevner spesifikt lokalt rettshåndhevelsespress, og det er et tegn på sabelrasling. ser ut til å hjelpe. Men vi bør ikke glemme at på grunn av en feil i BlackMatter løsepenge, tapte operatører og tilknyttede selskaper millioner i løsepenger i løpet av den siste måneden. Dette skadet allerede forholdet til tilknyttede selskaper. Det er ikke vanskelig å forestille seg gitt den anstrengte operasjonen modell, vil det kanskje ikke kreve mye press fra myndighetene for kjernemedlemmer i BlackMatter å henge opp hatten.”
Sikkerhet
Det beste phishing-målet? Smarttelefonen din Hvorfor trenger du denne sikkerhetsnøkkelen til $29 FBI: Ransomware grupperer som knytter angrep til “betydelige økonomiske hendelser” Signal avslører hvor langt amerikansk rettshåndhevelse vil gå for å få folks informasjon De 10 verste maskinvaresikkerhetsfeilene i 2021 Cybersecurity 101: Beskytt personvernet ditt mot hackere , spioner, regjeringen Regjeringen | Sikkerhets-TV | Databehandling | CXO | Datasentre