Η συμμορία ransomware BlackCat κάνει μια απάτη εξόδου, προσπαθώντας να κλείσει και να τρέξει με τα χρήματα των θυγατρικών τους, προσποιούμενος ότι το FBI κατέλαβε τον ιστότοπο και την υποδομή τους.
Η συμμορία ανακοίνωσε ότι τώρα πουλά τον πηγαίο κώδικα για το κακόβουλο λογισμικό για την τσουχτερή τιμή των 5 εκατομμυρίων δολαρίων.
Σε ένα φόρουμ χάκερ, η ALPHV είπε ότι αποφάσισαν “να κλείσουν το έργο” λόγω “των ομοσπονδιών”, χωρίς να δώσει πρόσθετες λεπτομέρειες ή διευκρίνιση.
Ωστόσο, μια εθνική υπηρεσία επιβολής του νόμου που αναφέρεται στο πανό κατάσχεσης επιβεβαίωσε στην BleepingComputer ότι δεν συμμετείχε σε καμία πρόσφατη διακοπή της υποδομής ALPHV.
«Οι ομοσπονδιακοί μας τσάκωσαν»
Η συμμορία ransomware ξεκίνησε την επιχείρηση απάτης εξόδου την Παρασκευή, όταν έβγαλε το ιστολόγιο διαρροής δεδομένων Tor εκτός σύνδεσης. Τη Δευτέρα, έκλεισαν περαιτέρω τους διακομιστές διαπραγμάτευσης, λέγοντας ότι αποφάσισαν να απενεργοποιήσουν τα πάντα, εν μέσω καταγγελιών από μια θυγατρική ότι οι χειριστές έκλεψαν λύτρα 20 εκατομμυρίων δολαρίων Change Healthcare από αυτούς».
Χθες, η κατάσταση της συμμορίας στο Tox άλλαξε σε “GG” (“καλό παιχνίδι”) – υπονοώντας το τέλος της επιχείρησης και αργότερα σε “πώληση πηγαίου κώδικα 5kk”, υποδεικνύοντας ότι ήθελαν 5 εκατομμύρια δολάρια για το κακόβουλο λογισμικό τους.
Κατάσταση ransomware BlackCat στην πλατφόρμα ανταλλαγής μηνυμάτων Tox
πηγή: BleepingComputer
Σε ένα μήνυμα σε ένα φόρουμ χάκερ που κοινοποιήθηκε από το Recorded Future’s
Ντμίτρι Σμιλιάνετς
οι διαχειριστές της επιχείρησης είπαν ότι «αποφάσισαν να κλείσουν τελείως το έργο» και «μπορούμε επίσημα να δηλώσουμε ότι οι ομοσπονδιακοί μας τσάκωσαν.
Τη στιγμή της σύνταξης, ο ιστότοπος διαρροής ALPHV δείχνει ένα ψεύτικο πανό που ανακοινώνει ότι το Ομοσπονδιακό Γραφείο Ερευνών (FBI) κατέλαβε τον διακομιστή σε μια «συντονισμένη δράση επιβολής του νόμου που ελήφθη κατά του ALPHV Blackcat Ransomware.
Αν και η Europol δεν έχει απαντήσει στα email μας, η NCA είπε στην BleepingComputer ότι δεν εμπλέκονται σε καμία πρόσφατη διακοπή της υποδομής της ALPHV, παρόλο που αναφέρονται στο ψεύτικο μήνυμα κατάσχεσης. Το FBI αρνήθηκε να σχολιάσει την ανακοίνωση κατάσχεσης
Ψεύτικο banner του FBI στον ιστότοπο διαρροής δεδομένων ransomware ALPHV
πηγή: BleepingComputer
Το BleepingComputer παρατήρησε ότι η εικόνα του banner κατάσχεσης φιλοξενείται κάτω από ένα φάκελο με το όνομα “/THIS WEBSITE HAS BEEN SEIZED_files/”, το οποίο δείχνει ξεκάθαρα ότι το banner εξήχθη από ένα αρχείο.
Το banner προστέθηκε στον ιστότοπο ALPHV
πηγή: BleepingComputer
Ειδικός ransomware
Φάμπιαν Βοσάρ
είπε στο BleepingComputer ότι η συμμορία ransomware απλώς εγκατέστησε μια Python
Απλός διακομιστής HTTPS
για να σερβίρετε το ψεύτικο πανό.
“Έτσι απλά αποθήκευσαν την ειδοποίηση κατάργησης από τον παλιό ιστότοπο διαρροής και δημιούργησαν έναν διακομιστή Python HTTP για να τον εξυπηρετήσουν κάτω από τον νέο ιστότοπο διαρροής. Τεμπέλης”, είπε ο Fabian Wosar στο BleepingComputer.
Επιπλέον, ο Wosar λέει ότι οι επαφές του στην Europol και την NCA “
αρνήθηκε κάθε είδους ανάμειξη
κατά την κατάσχεση του ιστότοπου ransomware ALPHV.
Παρά τη δήλωση και τα στοιχεία της NCA ότι το πανό στην τοποθεσία διαρροής δεν είναι αποτέλεσμα δραστηριότητας επιβολής του νόμου, η ALPHV είπε στο BleepingComputer ότι η υποδομή τους κατασχέθηκε.
Οι φήμες για πιθανή απάτη εξόδου από την ALPHV ξεκίνησαν όταν ένας μακροχρόνιος συνεργάτης του ALPHV, ο επονομαζόμενος “Notchy”, ισχυρίστηκε ότι η συμμορία είχε κλείσει τον λογαριασμό τους και τους έκλεψε μια πληρωμή 22 εκατομμυρίων δολαρίων από τα λύτρα που φέρεται να πλήρωσε η Optum για το Change Healthcare επίθεση.
Ως απόδειξη του ισχυρισμού τους, η θυγατρική μοιράστηκε μια διεύθυνση πληρωμής σε
κρυπτο
νομίσματα που κατέγραψε μόνο μία εισερχόμενη μεταφορά 350 bitcoin (περίπου 23 εκατομμύρια $) από ένα πορτοφόλι που φαίνεται ότι χρησιμοποιήθηκε ειδικά για αυτήν τη συναλλαγή στις 2 Μαρτίου.
Αφού έλαβε τα κεφάλαια, η διεύθυνση παραλήπτη που φέρεται ότι ανήκει σε χειριστές ALPHV διένειμε τα bitcoin σε διάφορα πορτοφόλια σε ίσες συναλλαγές περίπου 3,3 εκατομμυρίων δολαρίων.
Αξίζει να σημειωθεί ότι ενώ η διεύθυνση του παραλήπτη είναι πλέον άδεια, δείχνει ότι έλαβε και έστειλε κοντά στα 94 εκατομμύρια δολάρια.
Με αξιώσεις από θυγατρικές εταιρείες που δεν πληρώνονται, ξαφνικό κλείσιμο της υποδομής, διακοπή των δεσμών με πολλές θυγατρικές, το μήνυμα “GG” στο Tox, ανακοινώνοντας ότι πουλάνε τον πηγαίο κώδικα κακόβουλου λογισμικού, και ιδιαίτερα προσποιούμενοι ότι το FBI ανέλαβε τον έλεγχο του στους ιστότοπούς τους, όλα αυτά αποτελούν ξεκάθαρη ένδειξη ότι οι διαχειριστές ransomware ALPHV/BlackCat εξέρχονται από την απάτη.
Ποιος είναι το BlackCat/ALPHV ransomware
Οι χειριστές του BlackCat εμπλέκονται σε ransomware τουλάχιστον από το 2020, ξεκινώντας για πρώτη φορά ως DarkSide τον Αύγουστο του 2020 ως λειτουργία ransomware-as-a-service (RaaS).
Το RaaS είναι όταν οι βασικοί χειριστές αναπτύσσουν έναν κρυπτογράφηση ransomware και ιστότοπους διαπραγμάτευσης και στρατολογούν θυγατρικές για να χρησιμοποιήσουν τα εργαλεία τους για να πραγματοποιήσουν επιθέσεις ransomware και να κλέψουν δεδομένα.
Μετά την πληρωμή των λύτρων, οι χειριστές μοιράζουν την πληρωμή λύτρων, με τις θυγατρικές και τις
ομάδες
τους να λαμβάνουν συνήθως το 70-80% της πληρωμής και η επιχείρηση να λαμβάνει το υπόλοιπο.
Μετά την ευρέως δημοσιοποιημένη επίθεσή τους στον Colonial Pipeline, οι παράγοντες απειλών έκλεισαν την επιχείρηση DarkSide τον Μάιο του 2021 υπό την έντονη πίεση της παγκόσμιας επιβολής του νόμου.
Ενώ οι συμμορίες ransomware ήταν ήδη υπό έλεγχο από τις αρχές επιβολής του νόμου, η επίθεση στον Colonial Pipeline ήταν ένα σημείο καμπής για τις κυβερνήσεις σε όλο τον κόσμο που άρχισαν να δίνουν προτεραιότητα στη στόχευση αυτών των επιχειρήσεων εγκλήματος στον κυβερνοχώρο.
Αντί να μείνουν μακριά, οι χειριστές ξεκίνησαν μια νέα επιχείρηση ransomware που ονομάζεται BlackMatter στις 31 Ιουλίου 2021. Ωστόσο, οι κυβερνοεγκληματίες έκλεισαν γρήγορα ξανά τον Νοέμβριο του 2021 αφού η Emsisoft εκμεταλλεύτηκε μια αδυναμία για να δημιουργήσει έναν αποκρυπτογραφητή και οι διακομιστές κατασχέθηκαν.
Αντί να μάθουν από τα λάθη τους, οι χειριστές ransomware επέστρεψαν τον Νοέμβριο του 2021, αυτή τη φορά με το όνομα BlackCat ή ALPHV.
Ενώ το επίσημο όνομα της συμμορίας είναι ALPHV, δεν ήταν γνωστό εκείνη την εποχή, έτσι οι ερευνητές την ονόμασαν BlackCat με βάση το μικρό εικονίδιο μιας μαύρης γάτας που χρησιμοποιείται σε κάθε τοποθεσία διαπραγμάτευσης του θύματος.
Από τότε, η συμμορία ransomware εξελίσσει συνεχώς τις τακτικές της εκβιασμού, ακολουθώντας την ασυνήθιστη προσέγγιση της
συνεργασία
ς με αγγλόφωνες θυγατρικές.
Ωστόσο, πέρυσι, οι ηθοποιοί των απειλών έγιναν όλο και πιο τοξικοί, συν
εργαζόμενοι
με συνεργάτες που απειλούσαν σωματική βλάβη, δημοσιεύοντας γυμνές
φωτογραφίες
από κλεμμένα δεδομένα και φωνάζοντας επιθετικά τα θύματα.
Με αυτή τη νέα στρατηγική εκβιασμού, η συμμορία ransomware τοποθετήθηκε σταθερά στο στόχαστρο της επιβολής του νόμου.
Τον Δεκέμβριο του 2023, μια διεθνής επιχείρηση επιβολής του νόμου κατέλαβε τις τοποθεσίες διαπραγμάτευσης και διαρροής δεδομένων Tor της συμμορίας ransomware.
Το FBI ανακοίνωσε επίσης ότι είχε παραβιάσει τους διακομιστές της BlackCat και είχε συλλέξει αθόρυβα πληροφορίες για τους κυβερνοεγκληματίες ενώ λάμβανε αποκρυπτογραφητές για να επιτρέψουν στα θύματα να ανακτήσουν τα αρχεία τους δωρεάν.
Αντί να κλείσει, η συμμορία ransomware συνέχισε τις δραστηριότητές της, δεσμευόμενη να αντεπιτεθεί εναντίον της κυβέρνησης των ΗΠΑ επιτιθέμενοι σε κρίσιμες υποδομές.
Χωρίς να διδαχτεί ποτέ από τα λάθη του παρελθόντος, η συμμορία ransomware διεξήγαγε για άλλη μια φορά μια επίθεση που πήγε πολύ μακριά, θέτοντας τον πλήρη έλεγχο της παγκόσμιας επιβολής του νόμου στη λειτουργία τους.
Πρώτον, ήταν ο Colonial Pipeline το 2020 και τώρα είναι η επίθεση στο Change Healthcare της UnitedHealth Group. Η επίθεση Change Healthcare επηρέασε σημαντικά το σύστημα υγειονομικής περίθαλψης των ΗΠΑ μετά τη διακοπή των συστημάτων που χρησιμοποιούσαν τα φαρμακεία και οι γιατροί για την υποβολή αξιώσεων σε ασφαλιστικές εταιρείες.
Αυτή η διαταραχή έχει οδηγήσει σε
πραγματικές συνέπειες για ασθενείς στις ΗΠΑ που δεν μπορούν πλέον
χρησιμοποιούν εκπτωτικές κάρτες ή λαμβάνουν φάρμακα στο πλαίσιο των κανονικών ασφαλιστικών τους προγραμμάτων, αναγκάζοντάς τους να πληρώνουν προσωρινά την πλήρη τιμή για κρίσιμα φάρμακα.
Οι παράγοντες της απειλής ισχυρίστηκαν επίσης ότι έκλεψαν 6 TB δεδομένων από την Change Healthcare, που περιείχαν πληροφορίες υγειονομικής περίθαλψης για εκατομμύρια πολίτες των ΗΠΑ.
Αφού έλαβε μια υποτιθέμενη πληρωμή λύτρων 22 εκατομμυρίων δολαρίων από την Change Healthcare για να μην διαρρεύσει δεδομένα και να λάβει τον αποκρυπτογραφητή, μια θυγατρική ισχυρίστηκε ότι οι χειριστές της BlackCat έκλεψαν τα χρήματά τους.
Ωστόσο, αντί να διακοπεί από τις αρχές επιβολής του νόμου, η επιχείρηση έκλεισε και πάλι, προκαλώντας μια απάτη εξόδου.
Σε αυτό το σημείο, δεν είναι σαφές εάν η συμμορία ransomware θα επιστρέψει με νέο όνομα. Ωστόσο, ένα είναι σίγουρο: η φήμη τους έχει αμαυρωθεί σημαντικά, καθιστώντας αμφίβολο ότι οι θυγατρικές τους θα ήθελαν να συνεργαστούν μαζί τους στο μέλλον.
VIA:
bleepingcomputer.com
