Бандата за рансъмуер ALPHV/BlackCat е затворила сървърите си на фона на твърденията, че е измамила с 22 млн. долара партньора, отговорен за атаката срещу Optum, оператор на платформата Change Healthcare.
Въпреки че блогът на BlackCat за изтичане на данни не работи от петък, сайтовете за преговори са били все още активни през уикенда.
Краткият статус на руски език на платформата за съобщения, която рансъмуер бандата използва за комуникация, гласи, че са решили да изключат всичко.
Не е ясно дали това е измама за напускане или опит за ребрандиране на операцията под друго име.
Change Healthcare е платформа за обмен на плащания, която свързва лекари, аптеки, доставчици на здравни услуги и пациенти в системата на здравеопазването в САЩ.
По-рано днес платформата за съобщения Tox, използвана от оператора на рансъмуера BlackCat, съдържаше съобщение, което не предоставя никакви подробности за това какво планира бандата по-нататък: „Все выключено, решаем“, което се превежда като „Всичко е изключено, ние решаваме“.
Това съобщение за състоянието вече е променено на „GG“, което може да означава „добра игра“. Контекстът на това съобщение обаче е неясен.
Това решение може да е свързано с твърденията на човек, описващ се като дългогодишен филиал на ALPHV/BlackCat, отговорен за атаката срещу Optum, който заяви, че ALPHV му е забранила да участва в операцията и е откраднала откупа от 22 млн. долара, за който се твърди, че е платен от Optum за атаката срещу Change Healthcare.
Дмитрий Смилянец от компанията за разузнаване на заплахи Recorded Future сподели съобщението от предполагаемия филиал за откуп, в което се твърди, че Optum е платила на ALPHV/BlackCat откуп на 1 март, за да изтрие данните, откраднати от платформата Change Healthcare, и да получи декриптор.
Операциите за изнудване като услуга (RaaS) обикновено работят чрез партньорство с външни филиали, които извършват атаки, използвайки криптографските средства на операцията.
Откупите, получени от жертвите, се поделят между администраторите на RaaS и филиала, отговорен за пробива и разгръщането на рансъмуера или кражбата на данни.
В този случай изглежда, че филиалът, който е откраднал данни от Change Healthcare, е бил измамен. Те твърдят, че след като Optum е платил откуп от 22 млн. долара, ALPHV е спрял акаунта на партньора си и е взел всички пари от портфейла.
Под потребителското име „notchy“ предполагаемият партньор на ALPHV казва, че все още разполага с 4 TB „критични данни“ на Optum, като ги описва като „производствени данни, които ще засегнат всички клиенти на Change Healthcare и Optum“.
Те твърдят, че разполагат с данни от „десетки застрахователни компании“ и други доставчици на редица услуги – от здравеопазване до управление на парични средства и аптеки.
За да докажат твърдението си, notchy споделиха адрес за плащане с криптовалута с общо девет трансакции – първоначален входящ трансфер от 350 биткойна (малко над 23 млн. долара) и осем изходящи.
Адресът, който изпраща биткойните, има само две трансакции – една, при която се получават 350 биткойна, и друга, при която те се изпращат към предполагаемия портфейл ALPHV.
Макар да не е ясно каква посока поема BlackCat, тази дейност може да сочи началото на измама за излизане, при която операторите на откупи крадат криптовалутата на своите филиали и след това прекратяват дейността си.
BlackCat е ребрандирана марка на операцията за изнудване DarkSide, която също спря работа, след като заяви, че правоприлагащите органи са прехвърлили криптовалута от техните портфейли. След неотдавнашната операция на правоприлагащите органи, която наруши работата на сървърите на BlackCat, не би било изненадващо да се окаже, че те правят подобно твърдение, ако бъдат закрити.
ALPHV/BlackCat стартира през 2020 г. като DarkSide. Година по-късно бандата атакува Колониалния газопровод, което води до паника и прекъсване на доставките на газ в САЩ.
Скоро след атаката бандата за изнудване губи достъп до инфраструктурата си, твърдейки, че хостинг доставчикът им е блокирал достъпа до сървърите.
По това време бандата също така заяви, че средствата на платежния им сървър мистериозно са изчезнали в неизвестна сметка.
Няколко месеца по-късно операцията за получаване на откуп се появява отново под името BlackMatter, за да бъде закрита четири месеца по-късно, през ноември 2021 г., поради „натиск от страна на властите“.
През февруари 2022 г. бандата възобновява дейността си отново под името ALPHV/BlackCat и разширява партньорството си с англоговорящи филиали.
В края на миналата година ФБР обяви, че е проникнало в сървърите на бандата за откупи, наблюдавало е дейността ѝ и е получило частни ключове за декриптиране, които са помогнали на повече от 400 жертви да възстановят безплатно данните си.
ALPHV обаче възстанови инфраструктурата си и продължи да прониква в компании и да точи данни от жертвите, които не са платили откуп.
Възможно е обаче да предстои промяна на марката.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.