L’information est toujours à prendre avec prudence, mais le groupe derrière le ransomware Blackmatter aurait mis fin à ses activités. Le groupe de recherche en sécurité, VX-Underground, a reçu une capture d’écran d’un message prétendument publié par les opérateurs de Blackmatter datant du 1er novembre sur leur site. Dans ce document, ils avertissent les affiliés que leurs opérations de ransomwares cesseront dans les 48 heures.

« En raison de certaines circonstances insolubles liées à la pression des autorités (une partie de l’équipe n’est plus disponible après les dernières nouvelles), le projet est fermé », peut-on lire dans le message. « Les dernières nouvelles » font peut-être référence à une récente opération internationale aboutissant à l’arrestation de 12 personnes suspectées d’être liées à 1 800 attaques de ransomware dans 71 pays.

En attendant la naissance d’un autre groupe

Toujours dans le message, le groupe précise qu’au bout de 48 heures, l’ensemble de l’infrastructure sera désactivée. A l’attention des affiliés, il propose de leur envoyer un décrypteur pour continuer à rançonner les victimes. Selon nos confrères de Bleepingcomputer, le site de paiement Tor et celui de diffusion des vols de données étaient toujours actifs.

Pour rappel, Blackmatter avait succédé à Darkside tombé en juillet dernier. Il a mené plusieurs opérations médiatiques comme Olympus ou la Martiniquaise-Bardinet. Si la fermeture de Blackmatter se confirme, la durée de vie des groupes qui proposent du RaaS (ransomware as a service) devient de plus en plus courte. Elle montre aussi que la coopération judiciaire internationale progresse et gagne des victoires contre les gangs. Reste que la nature a horreur du vide et que Blackmatter sera certainement remplacé par un autre groupe dans les prochains jours ou semaines.