Ένα μη σφραγισμένο ένταλμα έρευνας του FBI αποκάλυψε πώς οι αρχές επιβολής του νόμου κατέλαβαν τους ιστότοπους επιχειρήσεων ransomware
ALPHV
/BlackCat και κατέσχεσαν
τι
ς σχετικές διευθύνσεις URL.
Σήμερα, το Υπουργείο Δικαιοσύνης των ΗΠΑ επιβεβαίωσε ότι κατέλαβε ιστότοπους για τη λειτουργία ransomware ALPHV και δημιούργησε έναν αποκρυπτογραφητή για να βοηθήσει περίπου 500 εταιρείες να ανακτήσουν τα δεδομένα τους δωρεάν.
Ωστόσο, οι λεπτομέρειες γύρω από τη διακοπή είναι θολή, με μόνο ένα μη σφραγισμένο ένταλμα έρευνας να παρέχει επιπλέον πληροφορίες.
Αυτό που ξέρουμε
Σύμφωνα με α
ένταλμα έρευνας
αποσφραγισμένο σήμερα, το FBI συνεργάστηκε με μια εμπιστευτική ανθρώπινη πηγή (CHS) για να εγγραφεί και να γίνει συνεργάτης της επιχείρησης ransomware ALPHV/BlackCat.
Μετά από συνέντευξη από τους χειριστές ransomware, το CHS έλαβε διαπιστευτήρια σύνδεσης στον πίνακα συνεργατών του backend.
Αυτό το πλαίσιο
δεν είναι
δημόσιο και προορίζεται να χρησιμοποιηθεί μόνο από τους χειριστές και τις θυγατρικές της συμμορίας ransomware, επιτρέποντάς τους να διαχειρίζονται εκστρατείες εκβιασμού και να διαπραγματεύονται λύτρα με μια εταιρεία.
Σύμφωνα με ένα ξεχωριστό ομοσπονδιακό ένταλμα έρευνας, το FBI είχε πρόσβαση στον πίνακα ALPHV για να καθορίσει τον τρόπο λειτουργίας του.
“Εάν η θυγατρική συνεργάζεται ενεργά με ένα θύμα που έχει μολυνθεί με ransomware Blackcat, μπορεί να επιλέξει την οντότητα χρησιμοποιώντας τον Πίνακα ελέγχου ή να επιλέξει το κουμπί “Καμπάνιες” στη γραμμή μενού”, αναφέρεται στο ένταλμα αναζήτησης.
“Από την οθόνη “Καμπάνιες”, οι συνδεδεμένες εταιρείες μπορούν να δουν την οντότητα του θύματος, την πλήρη τιμή λύτρων που ζητήθηκε, την τιμή λύτρων με έκπτωση, την ημερομηνία λήξης, τις διευθύνσεις κρυπτονομισμάτων, τις συναλλαγές κρυπτονομισμάτων, τον τύπο του συστήματος υπολογιστή που έχει παραβιαστεί, τη σημείωση ζήτησης λύτρων, τις συνομιλίες με το θύμα και άλλα.”
“Αυτά τα χαρακτηριστικά επιτρέπουν στους συνεργάτες να εμπλέκουν το θύμα σε όλη τη διαδικασία διαπραγμάτευσης.”
Χρησιμοποιώντας αυτήν την πρόσβαση, το FBI απέκτησε τα ιδιωτικά κλειδιά αποκρυπτογράφησης που χρησιμοποιούνται σε επιθέσεις και δημιούργησε έναν αποκρυπτογραφητή που βοήθησε περισσότερα από 400 θύματα να ανακτήσουν τα αρχεία τους δωρεάν.
Ωστόσο, δεν είναι ακόμη σαφές πώς απέκτησαν αυτά τα ιδιωτικά κλειδιά αποκρυπτογράφησης, καθώς δεν θα ήταν διαθέσιμα σε μια θυγατρική.
Μια θεωρία είναι ότι το FBI χρησιμοποίησε την εσωτερική του πρόσβαση για να βρει τρωτά σημεία που θα μπορούσαν να αξιοποιηθούν για την απόρριψη της βάσης δεδομένων ή για περαιτέρω πρόσβαση στον διακομιστή, αλλά αυτό δεν έχει επιβεβαιωθεί.
Το FBI δηλώνει επίσης ότι έλαβε 946 ζεύγη ιδιωτικών και δημόσιων κλειδιών που σχετίζονται με τοποθεσίες διαπραγμάτευσης Tor, τοποθεσίες διαρροής δεδομένων και τον πίνακα διαχείρισης της επιχείρησης ransomware και τα αποθήκευσαν σε μια μονάδα flash USB που είναι τώρα αποθηκευμένη στη
Φλόριντα
.
«Κατά τη διάρκεια αυτής της έρευνας, οι αρχές επιβολής του νόμου απέκτησαν ορατότητα στο δίκτυο της Blackcat Ransomware Group», εξηγεί το ένταλμα έρευνας.
“Ως αποτέλεσμα, το FBI εντόπισε και συνέλεξε 946 ζεύγη δημόσιων/ιδιωτικών κλειδιών για τοποθεσίες Tor που η Blackcat Ransomware Group χρησιμοποιούσε για να φιλοξενήσει ιστότοπους
επικοινωνία
ς θυμάτων, ιστότοπους διαρροής και πίνακες συνεργατών όπως αυτοί που περιγράφονται παραπάνω.”
“Το FBI έχει αποθηκεύσει αυτά τα ζεύγη δημόσιων/ιδιωτικών κλειδιών στο Flash Drive.”
Μονάδα flash FBI που περιέχει τα ζεύγη ιδιωτικών και δημόσιων κλειδιών για τις διευθύνσεις URL TOR
Πηγή: Υπουργείο Δικαιοσύνης
Όταν δημιουργούν έναν ιστότοπο στο δίκτυο ανωνυμοποίησης Tor, δημιουργούν ένα μοναδικό ζεύγος ιδιωτικού και δημόσιου κλειδιού που σχετίζεται με τη διεύθυνση URL .onion, το οποίο στη συνέχεια καταχωρείται στο δίκτυο Tor.
Ωστόσο, οποιοσδήποτε έχει αυτά τα ζεύγη ιδιωτικών και δημόσιων κλειδιών ελέγχει αποτελεσματικά τη διεύθυνση URL, επιτρέποντάς τους να τα κλέβουν ώστε να κατευθύνουν τους δικούς τους διακομιστές.
Κατάσχεση τοποθεσίας διαρροής δεδομένων BlackCat
Πηγή: BleepingComputer
Αν και το FBI δεν έχει κοινοποιήσει τον τρόπο με τον οποίο απέκτησαν πρόσβαση σε αυτά τα ζεύγη κλειδιών Tor, είναι πιθανό μέσω της ίδιας πρόσβασης που χρησιμοποίησαν για την ανάκτηση των κλειδιών αποκρυπτογράφησης για τα κρυπτογραφημένα αρχεία του θύματος.
Το FBI λέει ότι επιβεβαίωσε ότι αυτά τα κλειδιά Tor σχετίζονται με τον ιστότοπο διαρροής δεδομένων της επιχείρησης ransomware, τον πίνακα συνεργατών και τους μοναδικούς ιστότοπους διαπραγμάτευσης Tor που δίνονται στα θύματα σε σημειώσεις λύτρων.
Ενώ η BleepingComputer έχει επιβεβαιώσει μόνο ότι οι τοποθεσίες διαρροής δεδομένων και ορισμένοι ιστότοποι διαπραγματεύσεων παραλήφθηκαν από τις αρχές επιβολής του νόμου, η κατοχή αυτών των κλειδιών Tor θα επέτρεπε στο FBI να καταλάβει και τον πίνακα συνεργατών.
Αυτή είναι η τρίτη γνωστή επιχείρηση επιβολής του νόμου όπου το FBI παραβίασε επιτυχώς την υποδομή μιας επιχείρησης ransomware για να παρακολουθεί αθόρυβα τις δραστηριότητες και να συλλέγει κλειδιά αποκρυπτογράφησης.
Το πρώτο ήταν το REvil, όπου το
Το FBI απέκτησε πρόσβαση
στο κύριο κλειδί αποκρυπτογράφησης για την επίθεση της αλυσίδας εφοδιασμού Kaseya και το δεύτερο ήταν μια παραβίαση της λειτουργίας ransomware Hive, όπου το FBI απέκτησε πάνω από 1.300 κλειδιά αποκρυπτογράφησης.
Το FBI και οι διεθνείς αρχές επιβολής του νόμου έχουν επινοήσει μια τακτική που λειτουργεί για να παραβιάσει και να διαταράξει την υποδομή των συμμοριών ransomware, και πιθανότατα θα δούμε περισσότερες ενέργειες όπως αυτή στο μέλλον.
Όσο για το BlackCat/ALPHV, πιθανότατα θα κλείσουν τους επόμενους μήνες, ενώ θα κάνουν rebrand με νέο όνομα, όπως έκαναν στο παρελθόν.
VIA:
bleepingcomputer.com
