Federal Soruşturma Bürosu’na (FBI) göre ALPHV/BlackCat fidye yazılımı çetesi, Eylül 2023 itibarıyla dünya çapında 1.000’den fazla kurbandan 300 milyon doların üzerinde fidye ödemesi yaptı.
FBI, “ALPHV Blackcat üyelerinin fidye yazılımı ve veri gaspı operasyonlarında geniş ağları ve deneyimi var” diyor.
“FBI’a göre, Eylül 2023 itibarıyla ALPHV Blackcat üyeleri, yaklaşık yüzde 75’i Amerika Birleşik Devletleri’nde ve yaklaşık 250’si Amerika Birleşik Devletleri dışında olmak üzere 1000’den fazla kuruluşun güvenliğini ihlal etti, 500 milyon doların üzerinde talepte bulundu ve yaklaşık 300 milyon dolar aldı. fidye ödemeleri.”
Bugün CISA ile işbirliği içinde yayınlanan ortak tavsiye belgesinde FBI, ağ savunucularının ve kritik altyapı kuruluşlarının bu fidye yazılımı grubunun saldırılarıyla ilişkili etkiyi ve riskleri azaltmalarına yardımcı olacak hafifletme önlemlerini de paylaştı.
İki kurum ayrıca 6 Aralık gibi yakın bir tarihte FBI tarafından belirlenen ALPHV IOC’leri (uzlaşma göstergeleri) ve TTP’leri (taktikler, teknikler ve prosedürler) sağladı.
Ağ savunucularının, yaygın olarak kullanılan güvenlik açıklarını düzeltmeye öncelik vermeleri ve özellikle web postası, VPN ve kritik sistemlere bağlı hesaplar için tüm hizmetlerde güçlü parolalarla çok faktörlü kimlik doğrulamayı (MFA) uygulamaları şiddetle tavsiye edilir.
Ayrıca, yazılımı düzenli olarak güncellemeli ve en son sürümlere yamamalı ve standart güvenlik protokollerinin ayrılmaz bileşenleri olarak güvenlik açığı değerlendirmelerine odaklanmalıdırlar.
BlackCat/ALPHV, iki yıldan uzun bir süre önce, Kasım 2021’de ortaya çıktı ve kötü şöhretli DarkSide ve BlackMatter fidye yazılımı operasyonunun yeniden markası olduğundan şüpheleniliyor.
Başlangıçta DarkSide olarak bilinen bu grup, Colonial Pipeline’a yaptığı saldırının ardından dünya çapında ün kazandı ve kolluk kuvvetleri tarafından kapsamlı soruşturmalara yol açtı.
FBI daha önce bu fidye yazılımı çetesini Kasım 2021’den Mart 2022’ye kadar olan faaliyetin ilk dört ayında dünya çapındaki kuruluşları etkileyen 60’tan fazla ihlalle ilişkilendirmişti.
FBI Blackcat’i sekteye uğrattı, şifre çözme aracı geliştirdi
7 Aralık’ta BleepingComputer, çetenin Tor anlaşması ve veri sızıntısı web siteleri de dahil olmak üzere ALPHV karanlık web sitelerinin aniden çalışmayı bıraktığını ilk kez bildirdi.
Bugün Adalet Bakanlığı, FBI’ın ALPHV fidye yazılımı operasyonunun sunucularını ihlal ettiğini, faaliyetlerini başarılı bir şekilde izlediğini ve şifre çözme anahtarlarını ele geçirdiğini söyleyerek raporumuzu doğruladı.
ALPHV’nin arka uç bağlı kuruluş paneline erişmek için FBI, fidye yazılımı operatörleriyle yapılan bir görüşmenin ardından bağlı kuruluş olarak oturum açma kimlik bilgileri sağlanan gizli bir insan kaynağıyla (CHS) iletişime geçti.
FBI, şifre çözme anahtarlarını toplarken ALPHV’nin operasyonlarını aylarca sessizce izledi; bu, onların dünya çapında 500’den fazla kurbanın dosyalarını ücretsiz olarak kurtarmasına yardımcı olmalarına ve fidye taleplerinden yaklaşık 68 milyon dolar tasarruf etmelerine olanak sağladı. Ancak, bir bağlı kuruluşun arka uç kimlik bilgileri kullanılarak kullanılamayacakları için özel şifre çözme anahtarlarının nasıl elde edildiği belli değil.
Henüz doğrulanmamış olsa da olası bir teori, FBI’ın veritabanının boşaltılmasına veya fidye yazılımı çetesinin sunucusuna daha fazla erişim sağlanmasına olanak tanıyan güvenlik açıklarından yararlandığıdır.
FBI ayrıca fidye yazılımı operasyonunun veri sızıntısı sitesinin alan adına da el koydu ve ele geçirmenin uluslararası bir yasa uygulama operasyonunun sonucu olduğunu açıklayan bir pankart ekledi. Ancak saatler sonra ALPHV, FBI’ın çetenin sunucularını barındıran bir veri merkezine erişim elde ettiğini iddia ederek veri sızıntısı sitesini “geri aldı”. ALPHV ayrıca sızıntı sitesinde yayınlanan mesajda en az 3.400 kurbanın şifresini ihlal ettiklerini iddia ediyor.
Hem ALPHV hem de FBI şu anda veri sızıntısı sitesinin özel anahtarlarına sahip olduğundan, alanın kontrolünü birbirlerinden alabilirler.
Bu durum, diğer siber suç grupları tarafından bir nevi erken tatil hediyesi olarak görülüyor; örneğin LockBit fidye yazılımı çetesi, ALPHV bağlı kuruluşlarından mağdurlarla müzakerelere devam etmek için ekip değiştirmelerini istiyor.