Photographee.eu - stock.adobe.co

Ransomware : BlackMatter tire déjà sa révérence

Le groupe apparu dans le courant de l’été vient d’annoncer la fin imminente de ses activités, évoquant la « pression des autorités » et la disparition de membres. Les défauts de son ransomware pourraient être en cause.

Environ trois mois. C’est ce qu’aura duré l’aventure BlackMatter. Les opérateurs de ce ransomware viennent en effet d’indiquer qu’ils fermaient boutique. Dans un message publié sur le portail privé, réservé à leurs affidés, ils expliquent qu’en « raison de certaines circonstances insolubles liées à la pression des autorités (une partie de l’équipe n’est plus disponible, aux dernières nouvelles) – le projet est fermé ». Publié le 1er novembre, le message évoquait l’arrêt de l’infrastructure après 48 h.

Le plus ancien échantillon observé de BlackMatter suggère un début d’activité au mois de juillet. Les équipes de Synetis et d’Intrinsec ont indiqué précédemment l’avoir observé contre des cibles françaises. BlackMatter a d’ailleurs été impliqué dans l’attaque menée contre La Martiniquaise. Un échantillon fait d’ailleurs directement référence à sa maison mère, la Compagnie Financière Européenne de Prises de Participation. Chez Synetis, Antoine Coutant – Practice Manager Audits SSI & CSIRT – faisait état, début octobre, d’un mode opératoire qu’il décrit comme « plutôt violent, destructeur pour les victimes ».

L’examen des échantillons de BlackMatter tendait, début octobre, à suggérer un groupe à la taille encore limitée, capable de lancer périodiquement une large campagne avant de se concentrer sur les négociations avec les victimes. Nous avons trouvé une série d’échantillons compilés fin juillet, une autre début août, une troisième – particulièrement importante – mi-août, une quatrième fin septembre, pour au moins 6 cibles, et une dernière fin octobre, avec au moins 2 cibles distinctes. Là, il s’agissait d’une version 3.0 du rançongiciel.

BlackMatter est largement considéré comme le successeur de DarkSide, apparu à l’été 2020 et qui a mis fin à ses activités mi-mai dans la foulée de l’attaque contre Colonial Pipeline.

Sur Twitter, Dmitri Alperovitch, co-fondateur et ancien directeur technique de CrowdStrike, avance plusieurs hypothèses pour expliquer l’arrêt des activités de BlackMatter, et cela commence par de possibles craintes liées aux activités des forces de l’ordre. Un membre du groupe REvil, qui avait relancé la franchise Sodinokibi début septembre, a d’ailleurs indiqué prendre le large il y a quelques semaines.

Chez Emsisoft, Brett Callow évoque une autre piste : une perte de confiance des affidés. Cette théorie apparaît d’autant plus plausible que l’éditeur a, discrètement et sans publicité, utilisé une faille découverte dans BlackMatter pour permettre à des victimes de recouvrer leurs données sans payer de rançon.

Ironie de l’histoire, DarkSide a également souffert d’une faille ayant permis de déchiffrer les données affectées par le ransomware, toujours sans payer de rançon. La faille a été corrigée après que Bitdefender ait rendu publique l’information. Dans le cas de BlackMatter, Emsisoft a gardé le silence jusqu’à ce que la faille soit découverte et corrigée par les cybermalfaiteurs eux-mêmes.

Mais quelqu’un pourrait bien avoir commencé à préparer sa retraite avant de l’annoncer publiquement. Le 22 octobre, Omri Segev Moyal, PDG de Profero, relevait que 107 bitcoins liés à l’attaque contre Colonial Pipeline venaient d’être déplacés. Une partie de la rançon versée avait pu être récupérée, mais tout semblait alors indiquer qu’il s’agissait de la part de l’affidé ayant conduit l’attaque.

Pour mémoire, le groupe ayant opéré DarkSide et BlackMatter est aussi suivi sous l’étiquette FIN7. Récemment Gemini Advisory – une division de Recorded Future – a révélé que FIN7 avait mis en place une vitrine Web, pour une fausse entreprise baptisée Bastion Secure, afin de recruter des pentesters tout à fait honnêtes, et les exploiter : il s’agissait de leur faire croire qu’ils conduisaient des tests d’intrusion alors qu’en coulisses, FIN7 lançait des attaques. Non pas que les aspirants affidés manquent… les pentesteurs coûtent moins cher.

Pour approfondir sur Menaces, Ransomwares, DDoS