Търсене
Close this search box.

Бандата за рансъмуер ALPHV/BlackCat е затворила сървърите си на фона на твърденията, че е измамила с 22 млн. долара партньора, отговорен за атаката срещу Optum, оператор на платформата Change Healthcare.

Въпреки че блогът на BlackCat за изтичане на данни не работи от петък,  сайтовете за преговори са били все още активни през уикенда.

Краткият статус на руски език на платформата за съобщения, която рансъмуер бандата използва за комуникация, гласи, че са решили да изключат всичко.

Не е ясно дали това е измама за напускане или опит за ребрандиране на операцията под друго име.

Change Healthcare е платформа за обмен на плащания, която свързва лекари, аптеки, доставчици на здравни услуги и пациенти в системата на здравеопазването в САЩ.

Предполага се, че Optum плаща откуп

По-рано днес платформата за съобщения Tox, използвана от оператора на рансъмуера BlackCat, съдържаше съобщение, което не предоставя никакви подробности за това какво планира бандата по-нататък: „Все выключено, решаем“, което се превежда като „Всичко е изключено, ние решаваме“.

Това съобщение за състоянието вече е променено на „GG“, което може да означава „добра игра“. Контекстът на това съобщение обаче е неясен.

Това решение може да е свързано с твърденията на човек, описващ се като дългогодишен филиал на ALPHV/BlackCat, отговорен за атаката срещу Optum, който заяви, че ALPHV му е забранила да участва в операцията и е откраднала откупа от 22 млн. долара, за който се твърди, че е платен от Optum за атаката срещу Change Healthcare.

Дмитрий Смилянец от компанията за разузнаване на заплахи Recorded Future сподели съобщението от предполагаемия филиал за откуп, в което се твърди, че Optum е платила на ALPHV/BlackCat откуп на 1 март, за да изтрие данните, откраднати от платформата Change Healthcare, и да получи декриптор.

Предполага се, че ALPHV е измамил филиал за 20 млн.

Операциите за изнудване като услуга (RaaS) обикновено работят чрез партньорство с външни филиали, които извършват атаки, използвайки криптографските средства на операцията.

Откупите, получени от жертвите, се поделят между администраторите на RaaS и филиала, отговорен за пробива и разгръщането на рансъмуера или кражбата на данни.

В този случай изглежда, че филиалът, който е откраднал данни от Change Healthcare, е бил измамен. Те твърдят, че след като Optum е платил откуп от 22 млн. долара, ALPHV е спрял акаунта на партньора си и е взел всички пари от портфейла.

Под потребителското име „notchy“ предполагаемият партньор на ALPHV казва, че все още разполага с 4 TB „критични данни“ на Optum, като ги описва като „производствени данни, които ще засегнат всички клиенти на Change Healthcare и Optum“.

Те твърдят, че разполагат с данни от „десетки застрахователни компании“ и други доставчици на редица услуги – от здравеопазване до управление на парични средства и аптеки.

За да докажат твърдението си, notchy споделиха адрес за плащане с криптовалута с общо девет трансакции – първоначален входящ трансфер от 350 биткойна (малко над 23 млн. долара) и осем изходящи.

Адресът, който изпраща биткойните, има само две трансакции – една, при която се получават 350 биткойна, и друга, при която те се изпращат към предполагаемия портфейл ALPHV.

Макар да не е ясно каква посока поема BlackCat, тази дейност може да сочи началото на измама за излизане, при която операторите на откупи крадат криптовалутата на своите филиали и след това прекратяват дейността си.

BlackCat е ребрандирана марка на операцията за изнудване DarkSide, която също спря работа, след като заяви, че правоприлагащите органи са прехвърлили криптовалута от техните портфейли. След неотдавнашната операция на правоприлагащите органи, която наруши работата на сървърите на BlackCat, не би било изненадващо да се окаже, че те правят подобно твърдение, ако бъдат закрити.

От DarkSide до BlackMatter и ALPHV

ALPHV/BlackCat стартира през 2020 г. като DarkSide. Година по-късно бандата атакува Колониалния газопровод, което води до паника и прекъсване на доставките на газ в САЩ.

Скоро след атаката бандата за изнудване губи достъп до инфраструктурата си, твърдейки, че хостинг доставчикът им е блокирал достъпа до сървърите.

По това време бандата също така заяви, че средствата на платежния им сървър мистериозно са изчезнали в неизвестна сметка.

Няколко месеца по-късно операцията за получаване на откуп се появява отново под името BlackMatter, за да бъде закрита четири месеца по-късно, през ноември 2021 г., поради „натиск от страна на властите“.

През февруари 2022 г. бандата възобновява дейността си отново под името ALPHV/BlackCat и разширява партньорството си с англоговорящи филиали.

В края на миналата година ФБР обяви, че е проникнало в сървърите на бандата за откупи, наблюдавало е дейността ѝ и е получило частни ключове за декриптиране, които са помогнали на повече от 400 жертви да възстановят безплатно данните си.

ALPHV обаче възстанови инфраструктурата си и продължи да прониква в компании и да точи данни от жертвите, които не са платили откуп.

Възможно е обаче да предстои промяна на марката.

 

Източник: По материали от Интернет

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
Бъдете социални
Още по темата
10/12/2024

Deloitte опроверга рансъмуе...

Deloitte направи изявление в отговор на...
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
04/12/2024

Производителят на водки Sto...

Компаниите на Stoli Group в САЩ...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!