Gangul de ransomware ALPHV/BlackCat a închis serverele sale în urma acuzațiilor conform cărora au păcălit afiliatul responsabil pentru atacul asupra Optum, operatorul platformei Change Healthcare, de suma de 22 de milioane de dolari.
În timp ce blogul de scurgeri de date al BlackCat a fost inactiv de vineri, BleepingComputer a confirmat că site-urile de negociere erau încă active în weekend.
Astăzi, BleepingComputer a confirmat că site-urile de negociere ale operațiunilor de ransomware sunt acum și ele închise, indicând o închidere deliberată suplimentară a infrastructurii gangului de ransomware.
Un scurt status în limba rusă pe platforma de mesagerie folosită de actorul de amenințare ransomware pentru comunicare arată că au decis să închidă totul.
Nu este clar dacă acest lucru este o escrocherie de final sau o încercare de a rebrandui operațiunea sub un nume diferit.
Change Healthcare este o platformă de schimb de plăți care conectează medici, farmacii, furnizori de servicii medicale și pacienți în sistemul de sănătate din SUA.
Mai devreme astăzi, platforma de mesagerie Tox folosită de operatorul ransomware BlackCat conținea un mesaj care nu ofera detalii despre planurile viitoare ale gangului: „Все выключено, решаем,” care se traduce ca „Totul este oprit, noi decidem.”
Acest mesaj de status a fost schimbat acum în ‘GG,’ care ar putea însemna ‘good game.’ Cu toate acestea, contextul acestui mesaj este neclar.
Această decizie ar putea fi legată de acuzațiile din partea unei persoane care se descrie ca fiind un afiliat de lungă durată al ALPHV/BlackCat responsabil pentru atacul asupra Optum, care a declarat că ALPHV i-a interzis accesul la operație și a furat o răscumpărare de 22 de milioane de dolari plătită presupus de Optum pentru atacul asupra Change Healthcare.
Dmitry Smilyanets de la compania de informații despre amenințări Recorded Future a împărtășit mesajul de la afiliatul presupus al ransomware, care pretinde că Optum a plătit ALPHV/BlackCat o răscumpărare pe 1 martie pentru a șterge datele furate de pe platforma Change Healthcare și pentru a primi un decriptor.
Operațiunile de tip Ransomware-as-a-service (RaaS) funcționează de obicei prin parteneriate cu afiliați externi, care efectuează atacuri folosind encryptorii operației.
Răscumpărările primite de la victime sunt împărțite între administratorii RaaS și afiliatul responsabil pentru încălcarea și implementarea ransomware-ului sau furtul de date.
În acest caz, se pare că afiliatul care a furat date de la Change Healthcare a fost păcălit. Ei afirmă că după ce Optum a plătit o răscumpărare de 22 de milioane de dolari, ALPHV le-a suspendat contul partenerului și a luat toți banii din portofel.
Sub numele de utilizator „notchy,” presupusul afiliat ALPH susține că dețin încă 4TB de „date critice” ale Optum, descrise ca fiind „date de producție care vor afecta toți clienții Change Healthcare și Optum.”
Ei afirmă că au date de la „zeci de companii de asigurări” și alte furnizori de o gamă largă de servicii de la îngrijire medicală la managementul numerarului și farmacii.
Pentru a-și dovedi afirmația, notchy a împărtășit o adresă de plată cryptocurrency cu un total de nouă tranzacții, o transferință inițială de 350 de bitcoins (puțin peste 23 de milioane de dolari) și opt tranzacții de ieșire.
Adresa care trimite bitcoinul are doar două tranzacții, una primind 350 de bitcoini și una trimitându-i către portofelul ALPHV presupus.
BleepingComputer a contactat compania mamă a Optum, UnitedHealth Group, referitor la acuzațiile că au plătit o răscumpărare și li s-a spus, „Suntem concentrați pe investigație” și că nu sunt disponibile comentarii suplimentare.
În timp ce nu este clar încotro se îndreaptă BlackCat, această activitate ar putea indica începutul unei escrocherii de final, în care operațiunile de ransomware fură criptomoneda afiliaților lor și apoi își închid operațiunile.
BlackCat este o rebranduire a operațiunii de ransomware DarkSide, care s-a închis și ea după ce au pretins că forțele de ordine au transferat criptomoneda din portofelele lor. După operațiunea recentă a forțelor de ordine care a perturbat serverele BlackCat, nu ar fi surprinzător să descoperim că fac o afirmație similară în cazul în care se închid.
ALPHV/BlackCat a început în 2020 ca DarkSide. Un an mai târziu, gangul a atacat Colonial Pipeline, provocând panică și penurii de gaz în SUA.
Gangul de ransomware a pierdut accesul la infrastructura lor imediat după atac, afirmând că furnizorul lor de găzduire a blocat accesul la servere.
La acea vreme, gangul a spus de asemenea că fondurile de pe serverul lor de plată au dispărut misterios într-un cont necunoscut.
Operațiunea de ransomware a reapărut câteva luni mai târziu sub numele de BlackMatter doar pentru a se închide patru luni mai târziu, în noiembrie 2021, din cauza „presiunii din partea autorităților.”
Gangul a reluat operațiunile în februarie 2022 sub numele de ALPHV/BlackCat și și-a extins parteneriatul către afiliații vorbitori de limba engleză.
La sfârșitul anului trecut, FBI a anunțat că a pătruns în serverele gangului de ransomware, a monitorizat activitatea lor și a obținut cheile private de decriptare care au ajutat mai mult de 400 de victime să-și recupereze datele gratuit.
ALPHV și-a restabilit infrastructura, însă a continuat să spargă companii și să scurgă date de la victimele care nu plăteau o răscumpărare.
Cu toate acestea, o rebranduire ar putea fi iminentă.
Leave a Reply