Απενεργοποίηση Διακομιστών από το BlackCat ransomware: Κλοπή Λύτρων 22 Εκατομμυρίων Δολαρίων

Η συμμορία ransomware ALPHV/BlackCat έκλεισε

του

ς διακο

μι

στές της εν μέσω ισχυρισμών ότι απάτησαν τη θυγατρική που ήταν υπεύθυνη για την επίθεση στο Optum, τον χειριστή της πλατφόρμας Change Healthcare, ύψους 22 εκατομμυρίων δολαρίων.

Ενώ το ιστολόγιο διαρροής δεδομένων της BlackCat ήταν εκτός λειτουργίας από την

Παρασκευή

, η BleepingComputer είχε επιβεβαιώσει ότι οι ιστότοποι διαπραγματεύσεων ήταν ακόμα ενεργοί το Σαββατοκύριακο.

Σήμερα, η BleepingComputer επιβεβαίωσε ότι οι ιστότοποι διαπραγμάτευσης λειτουργιών ransomware έχουν πλέον κλείσει επίσης, υποδεικνύοντας μια περαιτέρω σκόπιμη κατάργηση της υποδομής της συμμορίας ransomware.

Μια σύντομη κατάσταση στα ρωσικά στην πλατφόρμα ανταλλαγής μηνυμάτων που χρησιμοποιεί ο ηθοποιός απειλών ransomware για

επικοινωνία

αναφέρει ότι αποφάσισαν να απενεργοποιήσουν τα πάντα.

Δεν είναι σαφές εάν πρόκειται για απάτη εξόδου ή για προσπάθεια μετονομασίας της λειτουργίας με διαφορετικό όνομα.

Το Change Healthcare είναι μια πλατφόρμα ανταλλαγής πληρωμών που συνδέει γιατρούς, φαρμακεία, παρόχους υγειονομικής περίθαλψης και ασθενείς στο σύστημα υγειονομικής περίθαλψης των ΗΠΑ.

Η Optum φέρεται να πληρώνει λύτρα

Νωρίτερα σήμερα, η πλατφόρμα ανταλλαγής μηνυμάτων Tox που χρησιμοποιήθηκε από τον χειριστή ransomware BlackCat περιείχε ένα μήνυμα που δεν παρέχει λεπτομέρειες σχετικά με το τι σχεδιάζει η συμμορία στη συνέχεια: “Все выключено, решаем”, που μεταφράζεται σε “Όλα είναι απενεργοποιημένα, εμείς αποφασίζουμε”.

Αυτό το μήνυμα κατάστασης έχει πλέον αλλάξει σε “GG”, που μπορεί να σημαίνει “καλό παιχνίδι”. Ωστόσο, το πλαίσιο αυτού του μηνύματος είναι ασαφές.

Αυτή η απόφαση μπορεί να σχετίζεται με αξιώσεις από κάποιον που περιγράφεται ως μακροχρόνιος συνεργάτης των ALPHV/BlackCat υπεύθυνος για την επίθεση στο Optum, ο οποίος είπε ότι η ALPHV τους απαγόρευσε από την επιχείρηση και έκλεψε λύτρα 22 εκατομμυρίων δολαρίων που φέρεται να πλήρωσε η Optum για την επίθεση Change Healthcare.

Ντμίτρι Σμιλιάνετς

της εταιρείας πληροφοριών απειλών Recorded Future μοιράστηκε το μήνυμα από την υποτιθέμενη θυγατρική του ransomware, η οποία ισχυρίστηκε ότι η Optum πλήρωσε στην ALPHV/BlackCat λύτρα την 1η Μαρτίου για να διαγράψει τα δεδομένα που είχαν κλαπεί από την πλατφόρμα Change Healthcare και να λάβει έναν αποκρυπτογραφητή.

Οι λειτουργίες Ransomware-as-a-service (RaaS) λειτουργούν συνήθως με τη συνεργασία με εξωτερικές θυγατρικές, οι οποίες πραγματοποιούν επιθέσεις χρησιμοποιώντας τους κρυπτογραφητές της επιχείρησης.

Τα λύτρα που λαμβάνονται από τα θύματα μοιράζονται μεταξύ των διαχειριστών του RaaS και της θυγατρικής που είναι υπεύθυνη για την παραβίαση και την ανάπτυξη του ransomware ή την κλοπή δεδομένων.

Σε αυτήν την περίπτωση, φαίνεται ότι η θυγατρική που έκλεψε δεδομένα από την Change Healthcare εξαπατήθηκε. Ισχυρίζονται ότι αφού η Optum πλήρωσε λύτρα 22 εκατομμυρίων δολαρίων, η ALPHV ανέστειλε τον λογαριασμό του συντρόφου τους και πήρε όλα τα χρήματα από το πορτοφόλι.

Κάτω από το όνομα χρήστη “notchy”, η υποτιθέμενη θυγατρική της ALPH λέει ότι έχει ακόμα 4 TB των “κρίσιμων δεδομένων” της Optum, περιγράφοντάς τα ως “δεδομένα παραγωγής που θα επηρεάσουν όλους τους πελάτες Change Healthcare και Optum”.

Ισχυρίζονται ότι έχουν δεδομένα από «δεκάδες ασφαλιστικές εταιρείες» και άλλους παρόχους μιας σειράς υπηρεσιών από την υγειονομική περίθαλψη έως τη διαχείριση μετρητών και τα φαρμακεία.

Για να αποδείξουν τον ισχυρισμό τους, η Notchy μοιράστηκε α

διεύθυνση πληρωμής κρυπτονομίσματος

με συνολικά εννέα

συναλλαγές

, μια αρχική εισερχόμενη μεταφορά 350 bitcoin (λίγο πάνω από 23 εκατομμύρια δολάρια) και οκτώ εξερχόμενες.

Η διεύθυνση αποστολής του bitcoin έχει μόνο δύο συναλλαγές, η μία λαμβάνει 350 bitcoin και η άλλη τα στέλνει στο υποτιθέμενο πορτοφόλι ALPHV.

Η BleepingComputer επικοινώνησε με τη μητρική εταιρεία του Optum UnitedHealth Group σχετικά με τις αξιώσεις που κατέβαλαν λύτρα και τους είπαν: «Είμαστε επικεντρωμένοι στην έρευνα» και ότι δεν υπάρχουν επιπλέον σχόλια.

Αν και δεν είναι σαφές ποια κατεύθυνση ακολουθεί η BlackCat, αυτή η δραστηριότητα θα μπορούσε να υποδηλώνει την έναρξη μιας απάτης εξόδου, όπου οι επιχειρήσεις ransomware κλέβουν το κρυπτονόμισμα των θυγατρικών τους και στη συνέχεια κλείνουν τις δραστηριότητές τους.

Το BlackCat είναι μια νέα επωνυμία της λειτουργίας ransomware DarkSide, η οποία επίσης έκλεισε αφού ισχυρίστηκε ότι οι αρχές επιβολής του νόμου μετέφεραν κρυπτονομίσματα από τα πορτοφόλια τους. Μετά την πρόσφατη επιχείρηση επιβολής του νόμου που διέκοψε τους διακομιστές της BlackCat, δεν θα ήταν έκπληξη να διαπιστώσουμε ότι κάνουν παρόμοιο ισχυρισμό εάν κλείσουν.

Από το DarkSide στο BlackMatter στο ALPHV

Το ALPHV/BlackCat ξεκίνησε το 2020 ως DarkSide. Ένα χρόνο αργότερα, η συμμορία επιτέθηκε στον αγωγό Colonial, οδηγώντας σε πανικό και διακοπές φυσικού αερίου στις ΗΠΑ.

Η συμμορία ransomware έχασε την πρόσβαση στην υποδομή της λίγο μετά την επίθεση, υποστηρίζοντας ότι ο πάροχος φιλοξενίας τους απέκλεισε την πρόσβαση στους διακομιστές.

Εκείνη την εποχή, η συμμορία είπε επίσης ότι τα χρήματα στον διακομιστή πληρωμών τους εξαφανίστηκαν μυστηριωδώς σε έναν άγνωστο λογαριασμό.

Η επιχείρηση ransomware επανεμφανίστηκε λίγους μήνες αργότερα ως BlackMatter για να τερματιστεί μόνο τέσσερις μήνες αργότερα, τον Νοέμβριο του 2021, λόγω «πιέσεων από τις αρχές».

Η συμμορία ξανάρχισε τις δραστηριότητές της τον Φεβρουάριο του 2022 με το όνομα ALPHV/BlackCat και επέκτεινε τη συνεργασία της σε αγγλόφωνες θυγατρικές.

Στα τέλη του περασμένου έτους, το FBI ανακοίνωσε ότι είχε παραβιάσει τους διακομιστές της συμμορίας ransomware, παρακολούθησε τη δραστηριότητά τους και έλαβε ιδιωτικά κλειδιά αποκρυπτογράφησης που βοήθησαν περισσότερα από 400 θύματα να ανακτήσουν τα δεδομένα τους δωρεάν.

Ωστόσο, η ALPHV αποκατέστησε την υποδομή της και συνέχισε να παραβιάζει εταιρείες και να διαρρέει δεδομένα από θύματα που δεν πλήρωσαν λύτρα.

Ωστόσο, μπορεί να είναι επικείμενη ένα rebrand.