Търсене
Close this search box.

ФБР: ALPHV ransomware е събрал 300 милиона долара от над 1000 жертви

По данни на Федералното бюро за разследване (ФБР) към септември 2023 г. бандата за рансъмуер ALPHV/BlackCat е прибрала  над 300 милиона долара под формата на откупи от повече от 1000 жертви по целия свят.

„Свързаните с ALPHV Blackcat лица разполагат с широки мрежи и опит в операциите по изнудване за получаване на откупи и данни“, казва ФБР.

„По данни на ФБР към септември 2023 г. филиалите на ALPHV Blackcat са компрометирали над 1000 субекта – близо 75 % от тях са в Съединените щати и около 250 извън Съединените щати -, поискали са над 500 млн. долара и са получили близо 300 млн. долара под формата на откупи.“

В съвместната консултация, публикувана днес в сътрудничество с CISA, ФБР също така споделя мерки за смекчаване на последиците, които да помогнат на мрежовите защитници и организациите от критичната инфраструктура да намалят въздействието и рисковете, свързани с атаките на тази група за рансъмуер.

Двете агенции предоставиха също така IOC (индикатори за компрометиране) и TTP (тактики, техники и процедури) на ALPHV, идентифицирани от ФБР още на 6 декември.

Мрежовите защитници са силно насърчавани да приоритизират поправката на уязвимости, експлоатирани в дивата природа, и да наложат многофакторна автентикация (MFA) със силни пароли във всички услуги, особено за уеб поща, VPN и акаунти, свързани с критични системи.

Освен това те трябва редовно да актуализират и поправят софтуера до най-новите версии и да се съсредоточат върху оценките на уязвимостите като неразделни компоненти на стандартните протоколи за сигурност.

BlackCat/ALPHV се появи преди повече от две години, през ноември 2021 г., и се подозира, че е ребрандирана версия на известните операции с рансъмуер DarkSide и BlackMatter.

Първоначално известна като DarkSide, тази група придоби световна известност след атаката си срещу Colonial Pipeline, което доведе до обширни разследвания от страна на правоприлагащите органи.

По-рано ФБР свърза тази банда за рансъмуер с над 60 пробива, засегнали организации по целия свят през първите четири месеца на дейността, от ноември 2021 г. до март 2022 г.

ФБР разбива Blackcat, разработва инструмент за декриптиране

На 7 декември  тъмните уебсайтове на ALPHV, включително преговорите на бандата в Tor и уебсайтовете за изтичане на данни, внезапно са спрели да работят.

Днес Министерството на правосъдието потвърди тази информация, като заяви, че ФБР е пробило сървърите на операцията ALPHV за откуп, като успешно е наблюдавало дейността им и е получило ключове за декриптиране.

За да получи достъп до бекенд панела на партньорите на ALPHV, ФБР е ангажирало поверителен човешки източник (CHS), на когото са били предоставени данни за вход като партньор след интервю с операторите на рансъмуер.
В продължение на месеци ФБР мълчаливо наблюдаваше операциите на ALPHV, докато събираше ключове за декриптиране, което им позволи да помогнат на над 500 жертви по света да възстановят файловете си безплатно, спестявайки около 68 млн. долара под формата на искания за откуп. Въпреки това не е ясно как са били получени частните ключове за декриптиране, тъй като те не биха били достъпни чрез използване на данните за връзка с партньора.

Една от вероятните теории, макар и все още да не е потвърдена, е, че ФБР е използвало уязвимости, които са позволили изхвърляне на базата данни или получаване на допълнителен достъп до сървъра на бандата за откупи.

ФБР също така иззе домейна за сайта за изтичане на данни на операцията за изнудване, като добави банер, обясняващ, че изземването е резултат от международна операция на правоприлагащите органи. Часове по-късно обаче ALPHV „разблокира“ своя сайт за изтичане на данни, като заяви, че ФБР е получило достъп до центъра за данни, в който се намират сървърите на бандата. В съобщението, публикувано на техния сайт за изтичане на данни, ALPHV също така твърди, че са нарушили сигурността на поне 3400 жертви.

Тъй като в момента и ALPHV, и ФБР разполагат с  ключове на сайта за изтичане на данни, те могат да поемат контрола върху домейна един от друг.

Тази ситуация беше възприета като своеобразен подарък за ранните празници от други киберпрестъпни групи, като например бандата LockBit поиска от филиалите на ALPHV да сменят екипа си, за да продължат преговорите с жертвите.

 

Източник: e-security.bg

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
Бъдете социални
Още по темата
11/04/2024

10 млн. долара рекет за Hoy...

Неотдавнашната кибератака срещу Hoya Corporation, за...
11/04/2024

Panera Bread подхранва подо...

Веригата ресторанти не е предоставила никаква...
09/04/2024

Спад на атаките с рансъмуер...

През 2023 г. секторът на ransomware...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!