El equipo de ransomware BlackMatter parece estar a punto de cerrar su operación, citando la presión de la policía, según los informes, pero para las víctimas existentes del grupo, es probable que su pesadilla esté lejos de terminar.
En traducciones de capturas de pantalla publicado en Twitter Desde el repositorio de malware VX Underground, un representante de BlackMatter dijo que debido a “circunstancias irresolubles con presión de las autoridades”, el proyecto BlackMatter se cerraría y su infraestructura se apagaría en los próximos días.
Sin embargo, en el comunicado, el representante también pareció dirigirse a los afiliados de BlackMatter, diciéndoles que aún podían comunicarse con las víctimas y obtener herramientas de descifrado, presumiblemente para pasar a los que pagan, aunque esto no está confirmado. Tenga en cuenta que un descifrador BlackMatter ha estado disponible en Emsisoft desde finales de octubre.
Kevin Breen, director de investigación de amenazas cibernéticas en Immersive Labs, dijo que, lamentablemente, esto significaba que las víctimas existentes de BlackMatter probablemente aún no estaban fuera de peligro.
“Algunas cosas que podemos sacar de esto es que no parece ser una eliminación de sus servidores o infraestructura como hemos visto en algunos ejemplos recientes. Esto significa que no es probable que las víctimas existentes obtengan claves de descifrado ”, dijo.
“Esto también se ve reforzado por la segunda mitad del mensaje que sugiere que las empresas o el personal que ya se ocupan de rescates activos deberían continuar haciéndolo simplemente cambiando su método de comunicación y obteniendo los descifradores ahora antes de que se cierre la infraestructura”, dijo Breen.
Dijo que era difícil predecir cómo podrían responder los afiliados de BlackMatter, pero que aquellos que trabajaban más abajo en la cadena alimentaria de ransomware-as-a-service (RaaS) tendían a preocuparse menos por con quién trabajan, por lo que pueden simplemente reducir sus pérdidas y ofrecer sus “habilidades” a los demás.
Operaciones de aplicación de la ley
El supuesto cese de las actividades de BlackMatter se produce pocos días después de que una operación paneuropea apuntara a 12 presuntos operadores de ransomware que se cree que han llevado a cabo más de 1.800 ataques en todo el mundo. Europol dijo que los sospechosos estaban asociados principalmente con los ransomwares Dharma, LockerGoga y MegaCortex, y algunas otras variantes sin nombre.
En el momento de escribir este artículo, se desconoce si BlackMatter se encuentra entre esas variantes, pero algunos comentaristas ya están publicando un enlace a esta operación y otras incursiones policiales recientes.
Otros desarrollos recientes, como hablar de una cooperación más estrecha entre los EE. UU. Y Rusia sobre el delito cibernético, no habrán pasado desapercibidos en la clandestinidad cibernética y probablemente también sean motivo de preocupación.
Ya sea que los operadores de BlackMatter realmente estén tratando de desviar a las fuerzas del orden público, Carl Wearn, jefe de delitos electrónicos en Mimecast, dijo que el precedente histórico sugeriría que tales anuncios rara vez marcan el final del camino para los operadores de ransomware.
“Es muy poco probable que este sea el final de los actores de amenazas detrás del grupo BlackMatter y esto parece un cambio de marca clásico o una división”, dijo.
“Los ciberdelincuentes que están ganando tanto dinero rara vez se rinden, ya que la codicia que los impulsa a cometer los delitos en primer lugar rara vez les permite detenerse”, dijo Wearn. “Muchas organizaciones criminales afirman cerrar en un intento por reducir el calor, solo para astillarse o regresar después de una breve pausa con un nombre diferente”.
Tales tácticas de reinvención fueron famosas por los operadores del ransomware, ahora desaparecido de nuevo, REvil, que se rebautizó como REvil después de retirar su proyecto anterior, GandCrab, en 2019.
Engaño elaborado
En noticias relacionadas, el individuo detrás de una nueva banda de ransomware llamada Groove ha revelado que su proyecto era un elaborado engaño diseñado para atraer la atención de los investigadores de seguridad y los medios de comunicación.
Groove surgió en agosto en un foro web oscuro en ruso creado recientemente llamado Ramp. El individuo detrás de esto pidió que bandas de ransomware dispares se unieran contra el sector público de EE. UU., E intentó establecer su buena fe con una supuesta lista de inicios de sesión de usuarios filtrados para productos VPN de Fortinet sin parches. Según Brian Krebs de Krebs on Security, también tenían un sitio de filtración, que contenía los detalles de un número muy pequeño de víctimas.
Sin embargo, en reclamaciones posteriores, el individuo detrás de Groove, una figura aparentemente muy conocida que usa el identificador Boriselcin, dijo: “La pandilla Groove no existe, esto es una especie de trolling de los medios occidentales y una vez más muestra cómo nos tienen miedo … Yo era jodidamente bueno manipulando los medios “.
En una publicación de blog que evalúa las revelaciones de Groove, los analistas de Flashpoint dijeron que esta no era la primera vez que los actores de amenazas de habla rusa intentaban explotar los medios tecnológicos para difundir el miedo, la incertidumbre y la duda, y que burlarse de los medios y reporteros occidentales es un tema frecuente de conversación en foros de la web oscura.
Sin embargo, agregó Flashpoint, la principal motivación de los operadores de ransomware es financiera, uno puede evaluar con cierto grado de confianza que esta grandilocuencia es simplemente un espectáculo secundario. Según Krebs, esto puede ser una indicación de que Groove era legítimo hasta cierto punto y que su operador también está centrando su atención en un nuevo proyecto.
