Il motivo del completamento delle operazioni è l’aumento della pressione da parte delle autorità. Ma può essere un’operazione di marketing?
Il gruppo di cyber ransomware BlackMatter ha annunciato la fine di tutte le sue operazioni a causa delle crescenti pressioni delle autorità.
Il gruppo ha pubblicato un annuncio di cessazione sul proprio portale, dove i criminali informatici in genere si registrano per ricevere il ransomware BlackMatter.
“A causa di alcune circostanze irrisolvibili associate alla pressione delle autorità (parte della squadra non è più disponibile, dopo le ultime notizie) – il progetto è chiuso. In 48 ore, l’intera infrastruttura sarà disattivata, è consentito: inviare mail alle aziende per ulteriori comunicazioni, ottenere decryptor, per questo scrivere dare il decryptor all’interno della chat aziendale, dove siano necessari. Auguriamo a tutti il successo, siamo stati felici di lavorare”, dice l’annuncio (citazione testuale).
Cosa intendessero gli autori del bando per “ultime notizie” non è specificato. Tuttavia, la decisione di cessare le operazioni segue due eventi di alto profilo nelle ultime due settimane.
Il primo è un rapporto di Microsoft e Gemini Advisory, che ha collegato il gruppo di criminali informatici FIN7, presumibilmente lo sviluppatore del ransomware Darkside e BlackMatter, con la società di sicurezza delle informazioni Bastion Secure, che è stata utilizzata per reclutare “operatori”.
Il secondo evento è un articolo del New York Times sulla stretta cooperazione degli Stati Uniti contro la Russia nella lotta contro i criminali informatici russi e i gruppi di cyber ransomware, un richiamo all’unione delle forze per combattere il cyber crimine, organizzato dagli Stati Uniti che ha visto la partecipazione di 30 nazioni, tranne la Russia, che non è stata invitata all’evento.
Ricordiamo che il gruppo di ransomware Darkside, che è “reincarnato” da BlackMatter, ha ridimensionato le sue operazioni nel maggio 2021 dopo un attacco di alto profilo al gigante americano del carburante Colonial Pipeline.
Un altro gruppo sensazionale, REvil, ha recentemente cessato le sue attività due volte. La seconda volta ha dovuto ridimensionare le operazioni dopo che le forze dell’ordine hanno hackerato i suoi server sulla darknet.
Uno scenario da notare
Il gruppo ransomware BlackMatter ha sviluppato uno strumento di esfiltrazione dei dati personalizzato, soprannominato Exmatter, che consente agli operatori di indirizzare facilmente i dati di valore, suggerendo che stanno cercando di rendere i loro attacchi più veloci.
Non sorprende che si stiano concentrando specificamente sull’estrazione di dati, dato che questi sono in definitiva i gioielli della corona di qualsiasi organizzazione, dai dati dei clienti ai segreti commerciali e alle informazioni sui dipendenti. Tutti i dati che possono essere utilizzati per l’estorsione sono un gioco leale e quindi ha senso concentrarsi su questo dal punto di vista dell’attaccante. L’approccio non è però davvero nuovo: la maggior parte dei ransomware utilizza già una qualche forma di esfiltrazione, usano solo approcci diversi per farlo. Questo particolare esempio consiste nell’esfiltrare i dati prima di creare un paywall, che è una sequenza diversa da quella che normalmente vediamo. Non sono sicuro di dire che è più pericoloso di qualsiasi altro, solo un approccio leggermente diverso.
La mancanza di ripercussioni e il pericolo associato al ransomware continua ad attrarre ogni giorno nuovi operatori. Non ci sono praticamente barriere all’ingresso ed è molto facile lavorare con molte di queste bande e utilizzare le loro tecnologie, quindi gli attacchi continueranno a crescere.
Per quanto tempo le operazioni BlackMatter saranno sospese?
Per questo c’è da dire che, probabilmente si tratta di un rebranding e che vedremo nuove operazioni, presto sulla scena ransomware. Forse.