ALPHV/BlackCat fidye yazılımı çetesi, Change Healthcare platformunun operatörü Optum'a yapılan 22 milyon dolarlık saldırıdan sorumlu bağlı kuruluşu dolandırdıkları iddiaları üzerine sunucularını kapattı.
BlackCat'in veri sızıntısı blogu Cuma gününden bu yana kapalı olsa da BleepingComputer, müzakere sitelerinin hafta sonu hala aktif olduğunu doğruladı.
Bugün BleepingComputer, fidye yazılımı operasyonları müzakere sitelerinin de artık kapatıldığını doğruladı; bu, fidye yazılımı çetesinin altyapısının kasıtlı olarak daha da çökertildiğine işaret ediyor.
Fidye yazılımı tehdit aktörünün iletişim için kullandığı mesajlaşma platformunda Rusça kısa bir durum, her şeyi kapatmaya karar verdiklerini gösteriyor.
Bunun bir çıkış dolandırıcılığı mı yoksa operasyonu farklı bir adla yeniden markalandırma girişimi mi olduğu belli değil.
Change Healthcare, ABD sağlık sistemindeki doktorları, eczaneleri, sağlık hizmeti sağlayıcılarını ve hastaları birbirine bağlayan bir ödeme değişim platformudur.
Optum'un fidye ödediği iddia ediliyor
Bugün erken saatlerde, BlackCat fidye yazılımı operatörü tarafından kullanılan Tox mesajlaşma platformu, çetenin bundan sonra ne planladığı hakkında herhangi bir ayrıntı sağlamayan bir mesaj içeriyordu: “Все выключено, решаем”, “Her şey kapalı, biz karar veririz” anlamına gelir.
Bu durum mesajı artık 'iyi oyun' anlamına gelebilecek 'GG' olarak değiştirildi. Ancak bu mesajın içeriği belirsizdir.
Bu karar, kendisini Optum'a yapılan saldırıdan uzun süredir ALPHV/BlackCat üyesi olarak sorumlu olarak tanımlayan, ALPHV'nin kendilerini operasyondan men ettiğini ve Change Healthcare saldırısı için Optum tarafından ödendiği iddia edilen 22 milyon dolarlık fidyeyi çaldığını söyleyen birinin iddialarıyla ilgili olabilir.
Dmitry Smilyanets Tehdit istihbaratı şirketi Recorded Future, fidye yazılımı olduğu iddia edilen bağlı kuruluştan gelen ve Optum'un Change Healthcare platformundan çalınan verileri silmek ve şifre çözücüyü almak için 1 Mart'ta ALPHV/BlackCat'a fidye ödediğini iddia eden mesajı paylaştı.
Hizmet olarak fidye yazılımı (RaaS) operasyonları genellikle operasyonun şifreleyicilerini kullanarak saldırılar gerçekleştiren harici bağlı kuruluşlarla ortaklık kurarak çalışır.
Kurbanlardan alınan fidyeler, RaaS yöneticileri ile ihlalden ve fidye yazılımının dağıtılmasından veya veri çalınmasından sorumlu bağlı kuruluş arasında paylaşılır.
Bu durumda Change Healthcare'den veri çalan bağlı kuruluşun dolandırıldığı anlaşılıyor. Optum'un 22 milyon dolarlık fidyeyi ödemesinin ardından ALPHV'nin ortaklarının hesabını askıya aldığını ve cüzdandaki tüm parayı aldığını iddia ediyorlar.
ALPH üyesi olduğu iddia edilen kişi, “çentikli” kullanıcı adı altında, hala 4TB Optum'un “kritik verilerine” sahip olduklarını söylüyor ve bunu “tüm Change Healthcare ve Optum müşterilerini etkileyecek üretim verileri” olarak tanımlıyor.
“Onlarca sigorta şirketinden” ve sağlık hizmetlerinden nakit yönetimine ve eczanelere kadar çeşitli hizmet sağlayıcılardan veri aldıklarını iddia ediyorlar.
İddiasını kanıtlamak için Notchy, toplam dokuz işlem, 350 bitcoin (23 milyon doların biraz üzerinde) tutarında ilk gelen transfer ve sekiz giden işlemden oluşan bir kripto para birimi ödeme adresi paylaştı.
Bitcoin gönderen adreste yalnızca iki işlem bulunuyor; biri 350 bitcoin alıyor, diğeri ise bunları iddia edilen ALPHV cüzdanına gönderiyor.
BleepingComputer, fidye ödedikleri iddialarıyla ilgili olarak Optum'un ana şirketi UnitedHealth Group ile temasa geçti ve kendisine “Soruşturmaya odaklandık” denildi ve ek bir yorumun bulunmadığı söylendi.
BlackCat'in hangi yöne gittiği belli olmasa da bu aktivite, fidye yazılımı operasyonlarının bağlı şirketlerin kripto para birimini çaldığı ve ardından operasyonlarını durdurduğu bir çıkış dolandırıcılığının başlangıcına işaret edebilir.
BlackCat, emniyet teşkilatının cüzdanlarından kripto para birimi aktardığını iddia ettikten sonra kapanan DarkSide fidye yazılımı operasyonunun yeniden markasıdır. BlackCat'in sunucularını kesintiye uğratan son kolluk kuvvetleri operasyonundan sonra, kapatılmaları halinde benzer bir iddiada bulunmaları şaşırtıcı olmayacaktır.
DarkSide'dan BlackMatter'a ve ALPHV'ye
ALPHV/BlackCat 2020'de DarkSide olarak başladı. Bir yıl sonra çete, Sömürge Boru Hattı'na saldırarak ABD'de paniğe ve gaz kesintilerine yol açtı.
Fidye yazılımı çetesi, barındırma sağlayıcılarının sunuculara erişimi engellediğini iddia ederek saldırıdan kısa bir süre sonra altyapılarına erişimi kaybetti.
Çete aynı zamanda ödeme sunucusundaki paranın gizemli bir şekilde bilinmeyen bir hesaba kaybolduğunu da söylemişti.
Fidye yazılımı operasyonu birkaç ay sonra BlackMatter olarak yeniden ortaya çıktı ve ancak dört ay sonra, Kasım 2021'de “yetkililerin baskısı” nedeniyle kapandı.
Çete, Şubat 2022'de ALPHV/BlackCat adı altında faaliyetlerine bir kez daha yeniden başladı ve ortaklığını İngilizce konuşan bağlı kuruluşları da kapsayacak şekilde genişletti.
Geçen yılın sonunda FBI, fidye yazılımı çetesinin sunucularına sızdığını, faaliyetlerini izlediğini ve 400'den fazla kurbanın verilerini ücretsiz olarak kurtarmasına yardımcı olan özel şifre çözme anahtarlarını elde ettiğini duyurdu.
Ancak ALPHV altyapısını onardı ve şirketlere sızmaya ve fidye ödemeyen kurbanlardan veri sızdırmaya devam etti.
Ancak, yeniden markalama yakın olabilir.