AccueilActualités informatiqueRansomware : le gang "BlackMatter" veut démissionner - à nouveau

Ransomware : le gang « BlackMatter » veut démissionner – à nouveau

Le gang de ransomware BlackMatter a annoncé sur un forum clandestin qu’il abandonnait son « métier » d’extorqueur. L’annonce en langue russe indique que le « projet » est abandonné en raison de la pression massive exercée par les autorités chargées de l’application de la loi. Dans les 48 heures, toute l’infrastructure du « ransomware-as-a-service » serait arrêtée.

Le communiqué indique également qu’une partie de l’équipe d’extorsion n’est peut-être plus en liberté, qu’elle n’est plus en mesure d’agir en raison d’activités d’enquête ou qu’elle s’est simplement cachée. Il est décrit comme « n’étant plus disponible ». Le gang veut donner aux victimes du ransomware BlackMatter la possibilité d’obtenir une clé gratuite pour restaurer leurs données au moyen d’un chat spécial.

Sommaire

Il y a quelques semaines à peine, les chercheurs d’Emsisoft ont proposé d’aider les victimes du ransomware BlackMatter à décrypter leurs données. Grâce à un bug dans les routines de cryptage, l’équipe avait réussi à développer une fonction de décryptage pour certaines variantes de BlackMatter.

Lire aussi

Le gang avait ensuite corrigé le code et continué avec de nouveaux codes malveillants. Cependant, l’incident avait déjà donné une idée de la clarté avec laquelle les autorités chargées de l’enquête avaient les criminels dans leur collimateur : Dans le cadre de l’aide au décryptage apportée aux victimes de BlackMatter, Emsisoft a, selon ses propres informations, travaillé pendant des mois avec l’autorité américaine CISA ainsi qu’avec des organismes d’application de la loi, des CERT et des entreprises de différents pays pour établir le contact avec les personnes concernées et les aider – sans que les extorqueurs ne s’en aperçoivent. Et en octobre de cette année, le CISA avait publié un avertissement explicite contre les activités de BlackMatter.

Les membres du gang BlackMatter ne sont pas des inconnus : le CISA et de nombreux experts en sécurité informatique considèrent BlackMatter comme le successeur direct ou le « rebranding » du programme de partenariat ransomware DarkSide, qui a notamment été responsable de la panne de Colonial Pipeline aux États-Unis en mai 2021. DarkSide, quant à lui, aurait été dirigé par le célèbre gang Carbanak, également connu sous le nom de FIN7 ou Carbon Spider, et aurait eu des liens étroits avec les criminels de REvil/Sodinokibi. L’équipe de DarkSide avait perdu le contrôle d’une partie de son infrastructure au profit des forces de l’ordre après l’attaque du Colonial Pipeline et avait finalement disparu de la scène, frileuse.

Le fait que les enquêteurs allemands, selon un rapport des médias, n’aient identifié que récemment un membre principal du groupe REvil, et que l’équipe BlackMatter semble avoir perdu des membres à l’instant même, est au moins une coïncidence intéressante dans le timing. Dans l’ensemble, le terrain des gangs de ransomware est apparemment très chaud en ce moment et la coopération transnationale entre les autorités est vive. Par exemple, les menottes ont récemment cliqué douze fois en rapport avec le groupe de ransomware LockerGoga. Et REvil, un fournisseur RaaS encore plus important que BlackMatter, est actuellement hors ligne – également en raison de la pression exercée par les autorités.

Lire aussi

Dans ce contexte, l’annonce actuelle des nouvelles formations Carbanaks et DarkSides ressemble davantage à un repli temporaire qu’à un adieu définitif. Et il se peut que certains « grands de la scène » ne tardent pas à sentir que le terrain s’est un peu refroidi et à commencer à réfléchir au prochain changement de marque.

Plus d'articles