Ransomware: “BlackMatter”-bende wil stoppen – alweer


De ransomware-bende BlackMatter heeft op een ondergronds forum aangekondigd dat ze hun chantage-“baan” willen opgeven. In de Russischtalige aankondiging staat dat het “project” zal worden stopgezet vanwege massale druk van wetshandhavingsinstanties. Ze willen de hele “Ransomware-as-a-Service”-infrastructuur binnen 48 uur afsluiten.

De aankondiging geeft ook aan dat een deel van het afpersingsteam mogelijk niet langer vrij is, niet in staat is om op te treden vanwege opsporingsactiviteiten of gewoon is ondergedoken. Dit wordt omschreven als “niet meer beschikbaar”. De bende wil slachtoffers van BlackMatter-ransomware een speciale chat geven om een ​​gratis sleutel te krijgen om hun gegevens te herstellen.

Nog maar een paar weken geleden boden Emsisoft-onderzoekers slachtoffers van BlackMatter-ransomware aan om hen te helpen hun gegevens te ontsleutelen. Dankzij een bug in de coderingsroutines kon het team een ​​decoderingsfunctie ontwikkelen voor sommige BlackMatter-varianten.

De bende repareerde vervolgens de code en ging verder met nieuwe kwaadaardige code. Het incident had echter al aangegeven hoe duidelijk de onderzoeksautoriteiten de criminelen op hun radar hadden: tijdens de decoderingsondersteuning voor BlackMatter-slachtoffers zei Emsisoft dat het maanden had doorgebracht met het Amerikaanse bureau CISA, evenals met wetshandhavingsinstanties, CERT’s en bedrijven uit verschillende landen werkten samen om contact te leggen met de getroffenen en hen te helpen – onopgemerkt door de afpersers. En in oktober van dat jaar had CISA een expliciete Waarschuwing voor BlackMatter-activiteiten vrijgelaten.

De leden van de BlackMatter-bende zijn zeker niet blanco: CISA en veel IT-beveiligingsexperts zien BlackMatter als een directe opvolger of een “rebranding” van het ransomware-partnerprogramma DarkSide, dat onder meer verantwoordelijk was voor het falen van de Colonial Pipeline in de VS in mei 2021 was. DarkSide zou daarentegen zijn geëxploiteerd door de beruchte Carbanak-bende, ook bekend als FIN7 of Carbon Spider, volgens verschillende bronnen, en nauwe banden hebben gehad met de criminelen rond REvil / Sodinokibi. Het DarkSide-team had de controle over een deel van zijn infrastructuur verloren aan wetshandhavingsinstanties na de aanval op de koloniale pijpleiding en verdween uiteindelijk met koude voeten van het toneel.

Volgens een bericht in de media zijn de Duitse onderzoeksautoriteiten onlangs geopend Kernlid van de REvil-groep geïdentificeerd en het BlackMatter-team blijkbaar leden heeft verloren op dit moment, is in ieder geval een interessante bijeenkomst. Over het algemeen is de grond voor ransomwarebendes blijkbaar erg hot op dit moment en is de grensoverschrijdende samenwerking tussen de autoriteiten levendig. Bijvoorbeeld onlangs geklikt in verband met de ransomware-groep LockerGoga de handboeien twaalf keer. En REvil, als een nog grotere RaaS-aanbieder dan BlackMatter, is momenteel offline – ook onder druk van de autoriteiten.

Tegen deze achtergrond lijkt de huidige aankondiging van de nieuw gevormde Carbanaks en DarkSides meer een tijdelijke retraite dan een definitief afscheid. En het zal niet lang duren voordat sommige ‘scene greats’ denken dat de grond een beetje is afgekoeld en beginnen te sleutelen aan de volgende rebranding.


(ovw)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: