BlackMatter lâche l’affaire

L’information est évidemment à prendre avec des pincettes : le ransomware apparu en juillet sur les cendres de REvil et de Darkside abandonnerait la partie. Dans un message en date du 1er novembre, les gestionnaires de BlackMatter accusent les pressions des autorités.

 

On a beau dire, les opérations de police dirigées contre les opérateurs de ransomware et leurs affiliés portent leurs fruits. Pas nécessairement en termes d’arrestations et de condamnation, mais ces descentes, saisies, interpellations voire extraditions mettent les groupes sous pression. Il y a peu, REvil, quoique sur le retour, était frappé en son cœur, a priori lors d’une opération conjointe impliquant le FBI. La compromission de son infrastructure obligeait le groupe à fermer boutique.

C’est désormais au tour du jeune mais fructueux BlackMatter. Ce groupe est apparu en juillet, exploitant les retraits de Darkside et de REvil. Ambitieux, ce ransomware n’a pas hésité à communiquer sur ses qualités supérieures à celles de ses concurrents. Olympus ou encore La Martiniquaise-Bardinet sont tombés sous ses assauts.

Increvable, et pourtant…

Et pourtant, le 1er novembre, un message en russe est repéré par VX-Underground, un groupe de chercheurs spécialisés dans la surveillance des forums de hackers de tous poils et des ruelles sombres du web plus ou moins profond. Ce message annonce que BlackMatter interrompt ses activités, avertissant les affiliés de la fin des opérations dans les 48h.

L’auteur du post justifie la fermeture du service par des « circonstances insolvables associés à la pression des autorités », ajoutant qu’une partie de l’équipe derrière le ransomware « n’est plus disponible ». De là à voir un lien entre cette soudaine indisponibilité et le démantèlement piloté par Europol d’un réseau de cybercriminels, avec une douzaine d’arrestations entre l’Ukraine et la Suisse, il n’y a qu’un pas.

Un pas que nous ne franchirons pas, mais qui rappelle que derrière chaque nouveau ransomware, on trouve bien souvent les auteurs d’autres ransomwares. On évitera la métaphore du phénix pour lui préférer celle de l’hydre. Coupez une tête, deux autres repoussent. D’autant que les opérateurs de BlackMatter restants invitaient les affiliés à les contacter afin de leur fournir les clés de déchiffrement, de sorte que ceux-ci puissent continuer à rançonner leurs victimes.