Yeraltı siber suç dünyası için çalkantılı bir döneme dönüşen ALPHV/BlackCat fidye yazılımı ekibi, grubun elebaşlarının yakın zamanda bir bağlı kuruluştan milyonlarca dolar çaldığı yönündeki iddialar üzerine sunucu altyapısını görünüşte kendi kendilerine uyguladıkları bir kapatma işlemiyle kapattı. Amerikalı bir sağlık hizmetleri sağlayıcısına saldırdı.
Yayından kaldırma ilk başta kolluk kuvvetlerinin koordineli bir şekilde kaldırmasının sonucu gibi göründü, ancak göre ReutersCronos Operasyonu'na öncülük eden Ulusal Suç Teşkilatı (NCA), LockBit operasyonunun yakın zamanda durdurulması sırasında herhangi bir kolluk kuvveti eylemi gerçekleşmedi.
3 Mart Pazar günü, büyük yeraltı forumlarından birinde bozuk İngilizceyle yayınlanan bir bildiriyle sular daha da bulandı. ALPHV/BlackCat'in sözde bağlı kuruluşu tarafından.
Posterde ALPHV/BlackCat ile uzun süredir çalıştıkları iddia ediliyordu ve 1 Mart'ta fidye yazılımına maruz kalan Change Healthcare'in ana şirketi olan Minneapolis, Minnesota merkezli United Health Group'tan 22 milyon dolarlık fidye ödemesi alındı.
Ancak, ödemeyi aldıktan sonra ALPHV/BlackCat ekibinin “hesabımızı askıya almaya karar verdiğini ve Tox üzerinden ALPHV yöneticisiyle iletişime geçtiğimizde yalan söylemeye ve geciktirmeye devam ettiğini” söylediler.
Eklediler: “Sürekli beklediklerini söylüyordu. [sic] Baş yönetici ve kodlayıcı bugüne kadar cüzdanı boşaltıp tüm parayı aldılar…. Herkes dikkatli olsun ve ALPHV ile anlaşmayı bırakın.”
Semperis'in güvenlik araştırması direktörü Yossi Rachman, “Bütün bunların spekülasyon olduğunu vurgulamak önemli” dedi. “Bunun biraz tuhaf göründüğüne katılıyorum çünkü ALPHV bu yüzden işini kaybedebilir. Öte yandan, bu sıradan bir iş değil, eğer parayı çalıp kaçmaya karar verirlerse, aynı kolaylıkla farklı bir isim altında yeni bir iş kurabilirler.
“Genel olarak, ALPHV'nin, bağlı kuruluşlarının ve Change Healthcare'in yakın çevresi dışında hiç kimse kimin ödeme yaptığı veya ödemediği hakkındaki bu bilgiyi bilmiyor. Bir de siber güvenlik sektöründe hırsızların şerefinin olmadığı konusunda ne derler bilirsiniz. Dolayısıyla hiçbir şey beni şaşırtmıyor.”
WithSecure kıdemli tehdit istihbaratı analisti Stephen Robinson, Rachman'ın her şeyi göründüğü gibi değerlendirme konusundaki düşüncelerini yineledi. “Siber suçluların beyanları doğası gereği güvenilmezdir. ALPHV çevrimdışı olmuş gibi görünüyor, ancak nedenini bilmiyoruz” dedi.
“Affiliate ödemesine ilişkin iddia ilginç ama aynı şekilde güvenilmez. Bir RaaS operasyonunun işe yaraması için bağlı kuruluşların ve çekirdek grubun birbirine güvenmesi gerekir; dolayısıyla bir bağlı kuruluştan 'çalmak' veya ödemeyi alıkoymak çok sıra dışı bir durum olacaktır. Ancak siber suçlular genellikle kolluk kuvvetlerinin radarının altında kalmak ve uluslararası kolluk kuvvetlerinin dikkatinin odaklanmasına yol açacak gerçek dünya etkilerine sahip saldırılar yapmaktan kaçınmak için çaba gösterirler.”
“Bu mümkün ALPHV Emniyet teşkilatının dikkatini çekmemek için markayı farklı bir isimle yeniden markalamak üzereler ama bu sadece bir spekülasyon.”
Bu, ALPHV/BlackCat'in 2021'de Colonial Pipeline'a saldıran DarkSide operasyonundaki (benzer şekilde çoğunlukla spekülatif) köklerine değiniyor.
Gerçek dünyada etkisi olan ve ABD'nin geniş bir kesiminde yakıt tedarikinde aksamalara yol açan bu saldırı, fidye yazılımı sorununu küresel ana akım ilgiye çekti ve Batı'nın politikasında büyük değişikliklere yol açtı.
Bu aynı zamanda çeteye karşı koordineli bir kolluk kuvveti operasyonuyla sonuçlandı ve bu operasyon, Colonial Pipeline'ın ödediği fidyenin önemli bir kısmını geri aldı.
Mağdurlara yardım yok
Çetenin, ebeveynleri herhangi bir fidye ödeyip ödemediğini doğrulamayan Change Healthcare tarafından yapıldığı iddia edilen ödemeye el koyması, acı verici bir kararla karşı karşıya kalan veya hâlâ karşı karşıya olan bir kuruluşa pek de rahatlama getirmeyecek.
Jon Miller şunları söyledi: “MGM gibi bir eğlence şirketinin kesinti süresine rağmen fidye talebini reddetmesi, kuruluşun gelirine mal olmasına rağmen risk iştahı dahilinde olsa da, fidye ödememe kararı muhtemelen herhangi bir hayatı riske atmayacak.” -Fidye yazılımı karşıtı platform Halcyon'un kurucusu ve CEO'su.
“Peki, herhangi bir gecikmenin insan hayatı için risk oluşturabileceği gerekçesiyle acilen sistemlere erişime ihtiyaç duyan Change Health gibi bir sağlık hizmeti sağlayıcısına ne dersiniz? Bu durumlarda fidye talebinin ödenip ödenmeyeceğine ilişkin karar çok daha karmaşık oluyor.”
Fidye yazılımı taleplerinin ödenmesinin yasa dışı hale getirilip getirilmeyeceğine ilişkin yenilenen tartışmaya konuşan Miller, sorunun her iki tarafını da kabul etti ve hızlı ödeme yapmanın, bazı risklere rağmen bazen operasyonları yeniden başlatmanın en hızlı yolu olabileceğini ancak şunları söyledi: bunu yapmak açıkça daha fazla saldırıyı teşvik etti.
İster ABD'nin özel sisteminde ister Birleşik Krallık'taki NHS'de olsun, sağlık kuruluşları için seçim daha da zor.
Miller, “Sağlık sistemine yönelik fidye yazılımı saldırıları, kuruluşun hastalara bakım verme becerisini giderek daha fazla etkiliyor ve bazı araştırmalar, fidye yazılımı saldırıları ile artan hasta ölümleri arasında doğrudan bir bağlantı olduğunu zaten buldu” dedi.
“Bir çalışma, fidye yazılımı saldırılarının %68'inin hasta bakımında kesintiye yol açtığını, %43'ü saldırı sırasında veri sızmasının hasta bakımını da olumsuz etkilediğini, %46'sı ölüm oranlarının arttığını ve %38'i takip eden tıbbi prosedürlerde daha fazla komplikasyon olduğunu belirtti. bir saldırıdır” diye ekledi.
Ancak fidye ödeme yasakları konusundaki tartışmanın aslında sorunun temel nedenini, yani öncelikle kurbanın BT sistemlerinin savunmasızlığını ele almadığını da sözlerine ekledi.
“Eğer bu saldırıların başarılı olmasını engelleyebilirsek fidye ödemesi tartışması da tartışmalı hale gelir” dedi.