Banda de ransomware BlackCat încearcă să înșele, încercând să închidă și să fugă cu banii afiliaților, pretinzând că FBI a confiscat site-ul și infrastructura lor.
Banda a anunțat că acum vinde codul sursă al malware-ului pentru prețul considerabil de 5 milioane de dolari.
Pe un forum de hackeri, ALPHV a spus că au decis „să închidă proiectul” din cauza „feds”, fără a oferi detalii suplimentare sau o clarificare.
Banda de ransomware a început operațiunea de escrocherie de ieșire vineri, când au scos blogul lor de scurgeri de date Tor offline. Luni, au închis și mai mult serverele de negociere, spunând că au decis să oprească totul, în mijlocul plângerilor de la un afiliat că operatorii le-au furat o răscumpărare de 20 de milioane de dolari de la Change Healthcare.
Ieri, starea bandei pe Tox s-a schimbat în „GG” („good game”) – sugerând sfârșitul operațiunii, și mai târziu la „vânzare cod sursă 5kk”, indicând că voiau 5 milioane de dolari pentru malware-ul lor.
Într-un mesaj pe un forum de hackeri distribuit de Dmitry Smilyanets de la Recorded Future, administratorii operațiunii au spus că au „decis să închidem complet proiectul” și „putem declara oficial că feds ne-au înșelat.
Nu sunt oferite detalii, totuși, despre ce a făcut FBI-ul pentru a obține o astfel de victorie împotriva ransomware-ului ALPHV/BlackCat.
La momentul redactării acestui articol, site-ul de scurgeri ALPHV arată un banner fals care anunță că Biroul Federal de Investigații (FBI) a confiscat serverul într-o „acțiune coordonată de aplicare a legii împotriva ransomware-ului ALPHV Blackcat.”
BleepingComputer a observat că imaginea bannerului de confiscare este găzduită într-un folder numit „/ACEST SITE WEB A FOST CONFISCAT_ fișiere/,” ceea ce indică clar că bannerul a fost extras dintr-un arhivă.
Expertul în ransomware Fabian Wosar a declarat pentru BleepingComputer că banda de ransomware a configurat pur și simplu un Python SimpleHTTPServer pentru a servi bannerul fals.
„Deci, ei pur și simplu au salvat notificarea de închidere de pe vechiul site de scurgeri și au pornit un server HTTP Python pentru a o servi sub noul lor site de scurgeri. Leneși,” a declarat Fabian Wosar pentru BleepingComputer.
În plus, Wosar spune că contactele sale de la Europol și NCA „au refuzat orice implicare” în confiscarea site-ului de ransomware ALPHV.
Zvonurile unei posibile escrocherii de ieșire de la ALPHV au început atunci când un partener de lungă durată ALPHV, un așa-numit „Notchy,” a pretins că banda și-a închis contul și i-a furat o plată de 22 de milioane de dolari din răscumpărarea presupus plătită de Optum pentru atacul Change Healthcare.
Ca dovadă a revendicării lor, afiliatul a distribuit o adresă de plată criptografică care a înregistrat doar o singură transferare de intrare de 350 de biți (aproximativ 23 de milioane de dolari) dintr-un portofel care pare să fi fost folosit special pentru această tranzacție la 2 martie.
După ce au primit fondurile, adresa destinatarului care aparține presupus operatorilor ALPHV a distribuit biții către diverse portofele în tranzacții egale de aproximativ 3,3 milioane de dolari.
Mai este de menționat că, deși adresa destinatarului este acum goală, arată că a primit și trimis aproape de 94 de milioane de dolari.
Având în vedere plângerile afiliaților care nu au fost plătiți, închiderea bruscă a infrastructurii, întreruperea legăturilor cu mai mulți afiliați, mesajul „GG” de pe Tox, anunțând că vând codul sursă al malware-ului, și în special pretinzând că FBI-ul a preluat controlul site-urilor lor, toate acestea sunt o indicație clară că administratorii ransomware-ului ALPHV/BlackCat fac escrocherie de ieșire.
Operatorii BlackCat au fost implicați în ransomware începând cu cel puțin 2020, lansându-se inițial ca DarkSide în august 2020 ca o operațiune de ransomware ca serviciu (RaaS).
Un RaaS este atunci când operatorii de bază dezvoltă un criptator de ransomware și site-uri de negociere și recrutează afiliați să folosească instrumentele lor pentru a efectua atacuri de ransomware și a fura date.
După ce o răscumpărare este plătită, operatorii împart plata răscumpărării, cu afiliații și echipele lor primind de obicei 70-80% din plată, iar operația restul.
După atacul lor larg mediatizat asupra Colonial Pipeline, actorii amenințării au închis operațiunea DarkSide în mai 2021 sub o presiune intensă din partea forțelor de aplicare a legii globale.
În timp ce bandele de ransomware erau deja sub supraveghere din partea forțelor de aplicare a legii, atacul asupra Colonial Pipeline a fost un punct de cotitură pentru guvernele din întreaga lume care au început să-și prioritizeze acțiunile împotriva acestor operațiuni de cybercrime.
În loc să se mențină departe, operatorii au lansat o nouă operațiune de ransomware numită BlackMatter pe 31 iulie 2021. Cu toate acestea, infractorii cibernetici au închis rapid din nou în noiembrie 2021 după ce Emsisoft a exploatat o vulnerabilitate pentru a crea un decriptor și serverele au fost confiscate.
În loc să învețe din greșelile lor, operatorii de ransomware au revenit în noiembrie 2021, de data aceasta sub numele de BlackCat sau ALPHV.
De atunci, banda de ransomware a evoluat continuu tacticii lor de șantaj, adoptând abordarea neobișnuită de a colabora cu afiliați vorbitori de limba engleză.
Cu toate acestea, anul trecut, actorii amenințării au devenit din ce în ce mai toxici, lucrând cu afiliați care amenințau cu prejudicii fizice, publicând fotografii nud din datele furate și acuzând agresiv victimele.
Cu această nouă strategie de șantaj, banda de ransomware era ferm plantată în vizorul forțelor de aplicare a legii.
În decembrie 2023, o operațiune internațională a forțelor de aplicare a legii a confiscat site-urile de negociere și de scurgeri de date Tor ale bandei de ransomware.
FBI-ul a anunțat de asemenea că au spart serverele BlackCat și au colectat în tăcere informații despre infractorii cibernetici, obținând în același timp decriptoare pentru a permite victimelor să-și recupereze fișierele gratuit.
În loc să se închidă, banda de ransomware și-a continuat activitățile, jurând să răspundă împotriva guvernului american atacând infrastructura critică.
Niciodată neînvățând din greșelile lor anterioare, banda de ransomware a efectuat din nou un atac care a mers prea departe, atrăgând întreaga atenție a forțelor de aplicare a legii globale asupra operațiunii lor.
Mai întâi a fost Colonial Pipeline în 2020, iar acum este atacul asupra UnitedHealth Group’s Change Healthcare. Atacul Change Healthcare a avut un impact semnificativ asupra sistemului de sănătate din SUA, după ce sistemele utilizate de farmacii și medici pentru a depune cereri către companiile de asigurări au fost perturbate.
Această perturbare a condus la consecințe reale pentru pacienții din SUA care nu mai pot folosi carduri de reducere sau primi medicamente în cadrul planurilor lor de asigurare normale, fiind forțați să plătească temporar prețul întreg pentru medicamentele critice.
Actorii amenințării au pretins de asemenea că au furat 6 TB de date de la Change Healthcare, care conține informații despre sănătatea a milioane de cetățeni americani.
După ce au primit o presupusă plată de răscumpărare de 22 de milioane de dolari de la Change Healthcare pentru a nu divulga datele și a primi decriptorul, un afiliat a pretins că operatorii BlackCat le-au furat banii.
Cu toate acestea, în loc să fie perturbați de forțele de aplicare a legii, operația s-a închis din nou, făcând o escrocherie de ieșire.
În acest moment, nu este clar dacă banda de ransomware se va întoarce sub un nou nume. Cu toate acestea, un lucru este sigur: reputația lor a fost semnificativ afectată, făcând ca afiliații să fie puțin probabil să dorească să lucreze cu ei în viitor.
Leave a Reply