BlackMatter ransomware para cerrar, afiliados transfiriendo víctimas a LockBit

En los mensajes obtenidos por un miembro del grupo vx-undergroundel prolífico grupo de ransomware BlackMatter ha dicho que está cerrando debido a una mayor presión policial.

El grupo, que pregonaba una versión renombrada del ransomware DarkSide utilizado para atacar Colonial Pipeline a principios de este año, publicó un mensaje en su sitio web privado de ransomware como servicio el 1 de noviembre diciendo que algunos miembros de la pandilla «ya no están disponibles». » después de «las últimas noticias».

«Debido a ciertas circunstancias irresolubles asociadas con la presión de las autoridades (parte del equipo ya no está disponible, después de las últimas noticias), el proyecto está cerrado», escribió el grupo.

«Después de 48 horas se apagará toda la infraestructura, lo que permitirá: Emitir correo a las empresas para una mayor comunicación. [and] Obtener descifrador. Para esto, escriba ‘dar un descifrador’ dentro del chat de la empresa, cuando sea necesario. Les deseamos todo el éxito, nos alegramos de trabajar».

Si bien el grupo no explicó qué querían decir con «las últimas noticias», hay una variedad de historias vinculadas a las actividades de la banda de ransomware en los últimos dos meses.

Después de cerrar la tienda al debido escrutinio de las fuerzas del orden tras el ataque al Oleoducto Colonial en mayo, el grupo resurgió en julio bajo el lema «BlackMatter». Atacaron a decenas de empresas y CISA identificó al grupo como los autores de múltiples ataques a empresas agrícolas antes de las cosechas.

La semana pasada, el CEO de Emsisoft, Fabian Wosar, reveló que su compañía descubrió una falla en el ransomware BlackMatter que les permite ayudar a las víctimas a recuperar todos sus archivos. El grupo finalmente lo descubrió y lanzó una versión actualizada de su malware, pero Wosar insinuó que estaban trabajando con las fuerzas del orden y otros para ayudar a las víctimas.

El miércoles, el Washington Post informó que el Comando Cibernético de EE. UU. y un gobierno extranjero fueron responsables de la interrupción del grupo de ransomware REvil. El periódico vio conversaciones de los actores de REvil e indican que los líderes del grupo se asustaron una vez que se dieron cuenta de que las entidades encargadas de hacer cumplir la ley estaban en su sistema, cerrando las operaciones por segunda vez este año.

Los oficiales de Europol también arrestaron al grupo ucraniano detrás de los ransomwares MegaCortex, Dharma y LockerGoga. Las doce personas detenidas presuntamente perpetraron más de 1.800 ataques de ransomware contra infraestructuras críticas y grandes organizaciones de todo el mundo.

El general Paul Nakasone, jefe del Comando Cibernético de EE. UU., señaló la inmensa cantidad de presión que ahora enfrentan los grupos de ransomware.

«Estoy satisfecho con el progreso que hemos logrado», dijo, «y tenemos mucho más por hacer», dijo durante un discurso en el Foro de Seguridad de Aspen el miércoles.

Bleeping Computer informó el miércoles por la tarde que los operadores de BlackMatter ya comenzaron a trasladar a las víctimas al sitio de ransomware LockBit para que puedan continuar negociando rescates. El grupo también está sacando criptomonedas del foro de piratería Exploit y desactivando cuentas, según Bleeping Computer.

La mayoría de los expertos se apresuraron a señalar que los grupos de ransomware ahora han convertido en una práctica estándar cerrar la tienda y reorganizarse bajo un nuevo nombre. Múltiples grupos de ransomware lo han hecho, algunos varias veces, tan pronto como la presión de las fuerzas del orden se vuelve demasiado difícil de manejar.

Xue Yin Peh, analista senior de inteligencia de amenazas cibernéticas de Digital Shadows, dijo que DarkSide, Avaddon y Egregor son solo algunos ejemplos de grupos que cerraron sus operaciones luego de los efectos secundarios de un ataque prominente.

«Aunque el anuncio de BlackMatter sugeriría un cese en las operaciones, si consideramos los eventos anteriores, existen algunas posibilidades en cuanto al futuro de BlackMatter: los miembros o afiliados permanecen ocultos durante un período de tiempo, permaneciendo inactivos mientras se toman un descanso de las actividades de ransomware y Los miembros o afiliados son absorbidos por los programas de ransomware como servicio de otros grupos», dijo Yin Peh.

«O bien, BlackMatter cambiará la marca a un nuevo programa con otro nombre. Dado lo altamente lucrativas que son las operaciones de ransomware, es poco probable que los que están detrás de BlackMatter dejen de operar por completo. Parece más probable un eventual cambio de marca, pero queda por saberse qué tan pronto sucederá». Con la aplicación de la ley pisándoles los talones, es más probable que BlackMatter se tome su tiempo para dejar que la aplicación de la ley se asiente, vuelva a desarrollar sus herramientas y luego resurja con una nueva y mejorada carga útil».

El Dr. Süleyman Özarslan de Picus Security señaló que las bandas de ransomware suelen cambiar de marca en ciclos de 6 meses.

Otros expertos, como el CTO de BreachQuest, Jake Williams, dijeron que mejores copias de seguridad y otra preparación por parte de las víctimas estaban disminuyendo las tasas de pago de rescate en algunos casos, lo que obligaba a los grupos de ransomware a confiar cada vez más en métodos de doble extorsión para recuperar el apalancamiento.

«La creación de la herramienta de exfiltración de datos muestra que los grupos no solo están preocupados por estandarizar sus operaciones de encriptación, sino también sus operaciones de extorsión. La mera existencia de la herramienta muestra cuán importante se ha vuelto el proceso de doble extorsión para los operadores», dijo Williams.

«En este punto, no está claro si los miembros del grupo central ‘no están disponibles’ porque están bajo custodia o simplemente han decidido que hay mucho en juego para continuar con las operaciones. parece estar ayudando. Pero no debemos olvidar que debido a un error en el ransomware BlackMatter, los operadores y afiliados perdieron millones en pagos de rescate en el último mes. Esto ya estaba perjudicando las relaciones con los afiliados. No es difícil de imaginar dadas las operaciones tensas. modelo, puede que no haga falta mucha presión por parte de las autoridades para que los miembros principales de BlackMatter cuelguen el sombrero».

Deja un comentario