ABD liderliğindeki çok uluslu bir operasyon, ALPHV/BlackCat hizmet olarak fidye yazılımı (RaaS) kartelinin operasyonlarını sekteye uğratarak, kötü şöhretli siber şantaj operasyonunun kaderi hakkında neredeyse iki haftadır süren spekülasyonları sonlandırdı, ancak aynı zamanda Çete üyeleri etkiyi en aza indirmek için harekete geçtikçe belirsizlik daha da artıyor.
Aralık ayının başlarında BlackCat operasyonunun uzun süre kesintiye uğraması, siber güvenlik araştırmaları camiasında suç çetesinin dağıtıldığı veya kolluk kuvvetleri tarafından çökertildiği yönünde spekülasyonlara yol açmıştı.
Çetenin Tor tabanlı sızıntı sitesine ilk kez 7 Aralık Perşembe günü erişilemez hale geldi ve kesinti birkaç gün boyunca devam etti, ancak bir haftadan fazla bir süre boyunca hiçbir kolluk kuvveti çeteye karşı bir eylemle ilgili herhangi bir açıklama yapmadı. teknik sorunlar.
Başlangıçta çetenin sızıntı yerinin yerini alan yayından kaldırma bildirimine göre, BlackCat’e yönelik operasyon Avustralya, Avusturya, Danimarka, Almanya, İspanya, İsviçre ve Birleşik Krallık Ulusal Suç Dairesi (NCA) dahil olmak üzere dünyanın dört bir yanından kurumları kapsıyordu.
Aynı zamanda FBI’daki teknoloji uzmanları, çetenin fidye yazılımı dolabı için bir şifre çözme aracı geliştirdi ve bu araç şu anda etkilenen 500’den fazla kurbana dağıtıldı. ABD Adalet Bakanlığı’na göre bu sayede fidye ödemelerinde şimdiden yaklaşık 68 milyon dolar tasarruf sağlandı.
ABD başsavcı yardımcısı Lisa Monaco, “BlackCat fidye yazılımı grubunu çökerterek Adalet Bakanlığı bir kez daha bilgisayar korsanlarını hackledi” dedi.
“FBI’ın dünya çapındaki yüzlerce fidye yazılımı kurbanına sağladığı şifre çözme aracı sayesinde işletmeler ve okullar yeniden açılabildi ve sağlık hizmetleri ile acil servisler tekrar çevrimiçi olabildi. Siber suçları besleyen ekosistemi ortadan kaldırmaya yönelik stratejimizin merkezine kesintileri önceliklendirmeye ve mağdurları yerleştirmeye devam edeceğiz.”
Kanun uygulayıcıları kazandı
Google Cloud Mandiant Consulting’in baş teknoloji sorumlusu Charles Carmakal şunları söyledi: “Bu, kolluk kuvvetleri ve topluluk için büyük bir kazanç. ALPHV, hizmet olarak fidye yazılımı programlarının en aktiflerinden biriydi ve hem Rusya’daki bağlı kuruluşlarla hem de İngilizce konuşan Batılı bağlı kuruluşlarla çalışıyordu.
“Kolluk kuvvetlerinin bu eylemi, ALPHV bağlı kuruluşlarına ve diğer tehdit aktörlerine çok güçlü bir mesaj gönderiyor. 2024 yılı boyunca kolluk kuvvetlerinin eylemlerinin ve kazanımlarının devam edeceğini öngörüyoruz.”
BlackCat’in dokuz canı var mı?
Ancak Carmakal, kartelin operasyonlarındaki aksamanın henüz tüm bağlı gruplara (çekirdek üyelerin kârdan kesinti karşılığında BlackCat dolabını sattığı küçük oyunculara) kadar yayılmayabileceğini gözlemledi.
“Ancak UNC3944 de dahil olmak üzere ALPHV bağlı kuruluşlarından bazıları hala aktif. [Scattered Spider/Octo Tempest – the operation behind the September 2023 Las Vegas casino heists]dedi.
Carmakal, “Bazı bağlı kuruluşların izinsiz girişlerine normal şekilde devam etmelerini bekliyoruz, ancak muhtemelen şifreleme, gasp ve kurbanı utandırma desteği için diğer RaaS programlarıyla ilişkiler kurmaya çalışacaklar” dedi.
Secureworks Karşı Tehdit Birimi’nden (CTU) araştırmacılar daha da ileri giderek kesintinin başlamasından bu yana geçen iki hafta içinde çok sayıda diğer RaaS operatörünün BlackCat bağlı kuruluşları adına çalınan verileri yayınlamayı teklif ettiğine dair kanıtları ortaya çıkardı.
Bir örnekte, CTU ekibi, 7 Aralık’tan hemen önce meydana gelen BlackCat saldırısında çalınan verilerin, sızıntı sitelerinde yayınlanmak üzere INC fidye yazılımı ekibine teslim edildiğini söyledi.
Ele geçirilmemiş
Daha endişe verici bir şekilde, CTU ekibi, resmi yayından kaldırma bildiriminin yayınlanmasından birkaç saat sonra, Gold Blazer olarak takip ettiği BlackCat’in aynı sitede kendi bildirimiyle yanıt verdiğini ve “ele geçirilmediğini” söyleyerek özel bir gizlilik belgesini elinde tuttuğunu öne sürdüğünü söyledi. Hizmeti Tor ağında barındırmak için gereken anahtar. Bu duyuru Tor ağının istemcileri en son kendisini “duyurulan” hizmete yönlendirmesi nedeniyle görülebiliyordu.
Bildirim, ziyaretçileri yeni bir blog sitesine ve kolluk kuvvetlerinin operasyonunu kabul eden ve intikam tehdidini içeren Rusça bir duyuruya yönlendirdi.
Çetenin, Secureworks tarafından otomatik hizmetler kullanılarak tercüme edilen beyanında, çete, FBI’ın veri merkezlerinden birine, muhtemelen barındırıcılarından birine hacklenerek veya onunla işbirliği yaparak erişim elde ettiğini söyledi.
BlackCat, FBI’ın en fazla Kasım ayının başlarından kalma 400 kurbanın şifre çözme anahtarına sahip olduğunu ancak bu nedenle 3.000’den fazla kurbanın “anahtarlarını asla alamayacaklarını” iddia etti.
Bunun sonucunda suçlular, eski Sovyetler Birliği’ndekiler hariç, bağlı kuruluşlarının hangi hedeflere saldırabileceğini belirleyen tüm kuralları kaldırdığı ve pazarlık yapan mağdurlara indirim yapmayacağı tehdidinde bulundu.
Secureworks, 19 Aralık Salı günü itibarıyla yeni sızıntı sitesine beş kurbanın gönderildiğini söyledi.