Il gruppo BlackMatter, responsabile di diversi attacchi ransomware, ha comunicato che l’infrastruttura usata per gestire il servizio RaaS verrà disattivata entro 48 ore. I cybercriminali hanno deciso di interrompere le attività in seguito alle pressioni esercitate dalle varie forze di polizia. Non è chiaro se risorgeranno nuovamente dalle ceneri, come già fatto in passato.
BlackMatter chiudono le attività per sempre?
Il gruppo BlackMatter è stato fondato da alcuni membri del gruppo DarkSide (chiuso a metà maggio), responsabili dell’attacco contro Colonial Pipeline. Le attività sono iniziate a fine luglio, quando su un forum del dark web erano state pubblicate le “linee guida” del nuovo RaaS (Ransomware-as-a-Service). A distanza di pochi giorni dal debutto, il gruppo aveva già incassato un riscatto di 4 milioni di dollari da una delle vittime.
Un post pubblicato sul sito del gruppo conferma che il progetto è stato chiuso e che l’intera infrastruttura verrà disattivata entro 48 ore. Nel messaggio vengono citate “circostanze irrisolvibili associate alle pressioni delle autorità” e la non disponibilità di una parte del team, dopo le “ultime news“. Probabilmente il riferimento è all’arresto di 12 persone avvenuto durante l’operazione DarkHunTOR eseguita da Europol.
Gli affiliati potranno tuttavia ricevere il decryptor da inviare alle vittime che hanno pagato il riscatto. Tre agenzie statunitensi (FBI, NSA e CISA) hanno pubblicato ad ottobre un documento che fornisce informazioni sul ransomware BlackMatter e sulle misure di sicurezza da adottare.
Come già accaduto in passato per altri gruppi, anche BlackMatter potrebbe riprendere le attività criminali con un altro nome.
Aggiornamento (04/11/2021): gli affiliati a BlackMatter hanno iniziato ad utilizzare l’infrastruttura del gruppo LockBit.