BlackMatter から LockBit への継承:アフェリエイトと被害者が移動しているらしい

BlackMatter ransomware moves victims to LockBit after shutdown

2021/11/03 BleepingComputer — ランサムウェア BlackMatter が活動を停止したことで、そのアフィリエイトたちは、競合する LockBit には被害者を移動させ、恐喝を継続している。今朝、BlackMatter のメンバーが行方不明とったが、法執行機関からの圧力が強まっていることもあり、同組織が閉鎖されるというニュースが流れた。

この閉鎖に関連して、BlackMatter の運営者は恐喝を継続するために、アフィリエイトに対して交渉のための復号器を受け取ることを許可している。BlackMatter のインフラは依然として生きているが、アフィリエイトたちが既存の被害者を、LockBit の交渉サイトに移動させていることを、BleepingCompuer も確認している。

BlackMatter の交渉チャットでは、アフィリエイトから被害者に対して、LockBit の Tor サイトへのリンクが、新しい交渉ページとして提供されている。BlackMatter は、シャットダウンを継続しており、今日の段階ではロシア語圏のハッキング・フォーラムからも存在が削除されている。

セキュリティ研究者の pancak3lullz は、BlackMatter のクリーンアップ活動を追跡しているが、本日はハッキング・フォーラム Exploit から Bitcoins (~$250,000) ほどを引き出し、アカウントを無効化していると述べている。また、BlackMatter はフォーラム上の既存の投稿を編集し、モデレーターに削除を依頼しているとのことだ。

REvil と BlackMatter が停止したことで、LockBit は現時点で稼働しているランサムウェアの中で、最大かつ最も成功しているグループの一つとなった。LockBit の代表者である LockbitSupp は、既存のランサムウェアが閉鎖されたときに、新しいアフィリエイトを募集するための戦術を調整するという、経験豊富な脅威アクターであることを示している。

BlackMatter には、ブランドを変更して新たなランサムウェアとして復活する可能性があるが、今回の LockBit との提携により、経験豊富なアフィリエイトを失うことになり、長期的には不利になるかもしれない。

たしかに、この半年ほどのランサムウェアの状況見ると、REvil および DarkSide の後継とされる BlackMatter が、最も活発に動いていたように思えます。Revil 検索BlackMatter 検索LockBit 検索で、それぞれの足跡が追えますので、よろしければ ご参照ください。

%d bloggers like this: