A BlackMatter egy privát ransomware-as-a-service (RaaS) weboldalt üzemeltet, amelyet a társszervezetek használhatnak a központi üzemeltetőkkel való kommunikációra, támogatási jegyek nyitására és új zsarolóprogram-építések fogadására.
A VX-Underground biztonsági kutatócsoportnak elküldték a BlackMatter üzemeltetői által állítólag november 1-jén a RaaS weboldalon közzétett üzenet képernyőképét. Ez a bejegyzés arra figyelmezteti a partnereket, hogy a zsarolóprogram-művelet 48 órán belül leáll.
Ez a bejegyzés nagyjából a következőképpen fordítható le: "Bizonyos megoldhatatlan körülmények miatt, amelyek a hatóságok nyomásával kapcsolatosak (a csapat egy része már nem elérhető, a legutóbbi hírek szerint) - a projektet bezárják.
48 óra elteltével a teljes infrastruktúrát kikapcsolják, lehetővé téve:
- Levelek kibocsátását a vállalatokkal való további kommunikációhoz
- Dekódoló kiadás. Ehhez írd meg a céges chat-en belül, ahol szükséges, hogy 'adj egy dekódolót'!
"Sok sikert kívánunk mindenkinek, örültünk a munkának."
Nem világos, hogy a "legfrissebb hírek" mire utalnak, de a csapat hiányzó tagjai összefüggésben állhatnak egy nemrégiben lezajlott nemzetközi bűnüldözési művelettel, amelynek során tizenkét személyt tartóztattak le, akik 71 országban 1800 zsarolóvírus-támadáshoz kapcsolódnak.
Júliusban a REvil 'Unknown' (Ismeretlen) néven jegyzett nyilvános képviselője is eltűnt, ami a REvil leállításához vezetett. Ha ez a bejegyzés legitim, és a BlackMatter leállítja a működését, az nem jelenti azt, hogy a fenyegetők nem fogják többé zsarolni az elkapott áldozatokat. A poszt alapján a RaaS oldal lehetővé teszi a partnerek számára, hogy az áldozatok számára dekódolókat kapjanak, így saját maguk folytathatják az áldozatok zsarolását.
A VX-Underground azt mondta a BleepingComputer portálnak, hogy egy BlackMatter-partner küldte nekik az üzenetet mutató screenshotot. Hogy a BlackMatter leáll-e, az még nem derült ki, mivel több mint 48 óra telt el azóta, hogy a figyelmeztetést kiadták a partnereknek, és a csoport Tor fizetési oldala és adatszivárgása továbbra is működik. Azonban még ha a BlackMatter le is állítja a működését, a jövőben valószínűleg egy másik csoportként fog visszatérni.
Amikor a zsarolóvírus-bandák nyomást éreznek a bűnüldöző szervek részéről, vagy egy nagyon érzékeny szervezetet vesznek célba, gyakran előfordul, hogy leállítják működésüket, és új néven újraindítják. A BlackMatter már most is a DarkSide művelet új névváltozata, amely a Colonial Pipeline elleni támadás után leállt, és érzékelte a nemzetközi bűnüldöző szervek teljes nyomását.
A múltban átnevezett zsarolóprogram-műveletek közé tartoznak a következők: A REvil átváltott GandCrabre, a Maze pedig Egregorra, a Bitpaymer a DoppelPaymer to Grief nevet használta a későbbiekben, a Nemty pedig a Nefilim to Karmát. Ezért csak idő kérdése, hogy a BlackMatter üzemeltetői mikor indulnak újra más néven.
