Η συμμορία ransomware ALPHV/BlackCat έχει καταβάλει πάνω από 300 εκατομμύρια δολάρια σε πληρωμές λύτρων από περισσότερα από 1.000 θύματα παγκοσμίως από τον Σεπτέμβριο του 2023, σύμφωνα με το Ομοσπονδιακό
Γραφείο
Ερευνών (FBI).
“Οι θυγατρικές της ALPHV Blackcat έχουν εκτεταμένα δίκτυα και εμπειρία με ransomware και επιχειρήσεις εκβίασης δεδομένων”, το FBI
λέει
.
«Σύμφωνα με το FBI, από τον Σεπτέμβριο του 2023, οι θυγατρικές της ALPHV Blackcat έχουν παραβιάσει περισσότερες από 1000 οντότητες—σχεδόν το 75% των οποίων βρίσκονται σ
τι
ς Ηνωμένες Πολιτείες και περίπου 250 εκτός των Ηνωμένων Πολιτειών—, ζήτησαν πάνω από 500 εκατομμύρια δολάρια και έλαβαν σχεδόν 300 εκατομμύρια δολάρια σε πληρωμές λύτρων».
Στην κοινή συμβουλευτική που δημοσιεύθηκε σήμερα σε συν
εργασία
με την CISA, το FBI μοιράστηκε επίσης μέτρα μετριασμού για να βοηθήσει τους υπερασπιστές των δικτύων και τους οργανισμούς υποδομής ζωτικής σημασίας να μειώσουν τον αντίκτυπο και τους κινδύνους που σχετίζονται με τις επιθέσεις αυτής της ομάδας ransomware.
Οι δύο υπηρεσίες παρείχαν επίσης ALPHV IOC (δείκτες συμβιβασμού) και TTP (τακτικές, τεχνικές και διαδικασίες) που προσδιορίστηκαν από το FBI μόλις στις 6 Δεκεμβρίου.
Οι υπερασπιστές δικτύου ενθαρρύνονται σθεναρά να δώσουν προτεραιότητα στην επιδιόρθωση ευπαθειών που εκμεταλλεύονται στη φύση και να επιβάλλουν έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) με ισχυρούς κωδικούς πρόσβασης σε όλες τις υπηρεσίες, ειδικά για το webmail, το VPN και τους λογαριασμούς που συνδέονται με κρίσιμα συστήματα.
Επιπλέον, θα πρέπει να ενημερώνουν τακτικά και να επιδιορθώνουν το λογισμικό στις πιο πρόσφατες εκδόσεις και να επικεντρώνονται στις αξιολογήσεις ευπάθειας ως αναπόσπαστα στοιχεία των τυπικών πρωτοκόλλων ασφαλείας.
Το
BlackCat/ALPHV εμφανίστηκε πριν από περισσότερα από δύο χρόνια, τον Νοέμβριο του 2021, και θεωρείται ύποπτο ότι είναι ένα rebrand της περιβόητης λειτουργίας ransomware DarkSide και BlackMatter.
Αρχικά γνωστή ως DarkSide, αυτή η ομάδα κέρδισε παγκόσμια φήμη μετά την επίθεσή της στον Colonial Pipeline, που οδήγησε σε εκτεταμένες έρευνες από τις υπηρεσίες επιβολής του νόμου.
Το FBI είχε προηγουμένως συνδέσει αυτήν τη συμμορία ransomware με περισσότερες από 60 παραβιάσεις που επηρέασαν οργανισμούς σε όλο τον κόσμο κατά τους πρώτους τέσσερις μήνες δραστηριότητας, από τον Νοέμβριο του 2021 έως τον Μάρτιο του 2022.
Το FBI αναστατώνει το Blackcat, αναπτύσσει εργαλείο αποκρυπτογράφησης
Στις 7 Δεκεμβρίου, η BleepingComputer ανέφερε για πρώτη φορά ότι οι σκοτεινές ιστοσελίδες ALPHV, συμπεριλαμβανομένων των ιστοτόπων διαπραγμάτευσης Tor και διαρροής δεδομένων της συμμορίας, σταμάτησαν ξαφνικά να λειτουργούν.
Σήμερα, το Υπουργείο Δικαιοσύνης επιβεβαίωσε την αναφορά μας, λέγοντας ότι το FBI παραβίασε τους διακομιστές της επιχείρησης ransomware ALPHV, παρακολουθώντας με επιτυχία τις δραστηριότητές τους και λαμβάνοντας κλειδιά αποκρυπτογράφησης.
Για να αποκτήσετε πρόσβαση στον πίνακα συνεργατών του backend του ALPHV, το FBI συνεργάστηκε με μια εμπιστευτική ανθρώπινη πηγή (CHS) στην οποία παρασχέθηκαν διαπιστευτήρια σύνδεσης ως συνεργάτης μετά από συνέντευξη με τους χειριστές ransomware.
Banner κατάσχεσης ALPHV BlackCat (BleepingComputer)
Το FBI παρακολουθούσε σιωπηλά τις επιχειρήσεις του ALPHV για μήνες ενώ συνέλεγε κλειδιά αποκρυπτογράφησης, τα οποία τους επέτρεψαν να βοηθήσουν περισσότερα από 500 θύματα σε όλο τον κόσμο να ανακτήσουν τα αρχεία τους δωρεάν, εξοικονομώντας περίπου 68 εκατομμύρια δολάρια σε αιτήματα λύτρων. Ωστόσο, δεν είναι σαφές πώς αποκτήθηκαν τα ιδιωτικά κλειδιά αποκρυπτογράφησης, καθώς δεν θα ήταν διαθέσιμα χρησιμοποιώντας τα διαπιστευτήρια υποστήριξης μιας συνδεδεμένης εταιρείας.
Μια πιθανή θεωρία, αν και δεν έχει ακόμη επιβεβαιωθεί, είναι ότι το FBI εκμεταλλεύτηκε τρωτά σημεία που επέτρεψαν την απόρριψη της βάσης δεδομένων ή την απόκτηση περαιτέρω πρόσβασης στον διακομιστή της συμμορίας ransomware.
Το FBI κατέσχεσε επίσης τον τομέα για τον ιστότοπο διαρροής δεδομένων της επιχείρησης ransomware, προσθέτοντας ένα πανό που εξηγούσε ότι η κατάσχεση ήταν αποτέλεσμα διεθνούς επιχείρησης επιβολής του νόμου. Ωστόσο, ώρες αργότερα, η ALPHV «αποκατάσχεσε» τον ιστότοπο διαρροής δεδομένων τους, ισχυριζόμενος ότι το FBI απέκτησε πρόσβαση σε ένα κέντρο δεδομένων που φιλοξενούσε τους διακομιστές της συμμορίας. Η ALPHV ισχυρίζεται επίσης στο μήνυμα που δημοσιεύτηκε στον ιστότοπο διαρροής ότι έχουν παραβιάσει τουλάχιστον 3.400 θύματα.
Δεδομένου ότι τόσο το ALPHV όσο και το FBI έχουν επί του παρόντος τα ιδιωτικά κλειδιά του ιστότοπου διαρροής δεδομένων, μπορούν να πάρουν τον έλεγχο του τομέα ο ένας από τον άλλο.
Αυτή η κατάσταση έχει θεωρηθεί ως ένα πρώιμο δώρο διακοπών από άλλες ομάδες εγκλήματος στον κυβερνοχώρο, με τη συμμορία ransomware
LockBit
, για παράδειγμα, να ζητά από τις θυγατρικές της ALPHV να αλλάξουν ομάδες για να συνεχίσουν τις διαπραγματεύσεις με τα θύματα.
VIA:
bleepingcomputer.com
