BlackCat fidye yazılımı çetesi bir çıkış dolandırıcılığı yapıyor, sitelerini ve altyapılarını FBI'ın ele geçirdiğini iddia ederek bağlı kuruluşların parasını alıp kaçmaya çalışıyor.
Ekip, kötü amaçlı yazılımın kaynak kodunu 5 milyon dolar gibi yüksek bir fiyata sattıklarını duyurdu.
Bir hacker forumunda ALPHV, ek ayrıntı veya açıklama yapmadan “federaller” yüzünden “projeyi kapatmaya” karar verdiklerini söyledi.
'Federaller bizi kandırdı'
Fidye yazılımı çetesi, Cuma günü Tor veri sızıntısı blogunu çevrimdışına alarak çıkış dolandırıcılığı operasyonunu başlattı. Pazartesi günü, bir bağlı kuruluştan gelen, operatörlerin kendilerinden 20 milyon dolarlık Change Healthcare fidyesini çaldığına dair şikayetler üzerine, her şeyi kapatmaya karar verdiklerini söyleyerek müzakere sunucularını da kapattılar.”
Dün, çetenin Tox'taki durumu 'GG' ('iyi oyun') olarak değişti; bu, operasyonun sona erdiğini ima etti ve daha sonra, kötü amaçlı yazılımları için 5 milyon dolar istediklerini belirten “5kk kaynak kodunu satma” olarak değişti.
kaynak: BleepingComputer
Recorded Future's tarafından paylaşılan bir hacker forumunda bir mesajda Dmitry SmilyanetsOperasyonun yöneticileri, “projeyi tamamen kapatma kararı aldıklarını” belirterek, “Federallerin bizi kazıkladığını resmen ilan edebiliriz.
Ancak FBI'ın ALPHV/BlackCat fidye yazılımına karşı böyle bir zafer elde etmek için ne yaptığına dair hiçbir ayrıntı verilmedi.
Bu yazının yazıldığı sırada ALPHV sızıntı sitesi, Federal Soruşturma Bürosu'nun (FBI) sunucuya “ALPHV Blackcat Ransomware'e karşı koordineli bir yasa uygulama eylemiyle” el koyduğunu bildiren sahte bir pankart gösteriyordu.
kaynak: BleepingComputer
BleepingComputer, ele geçirilen banner görselinin “/THIS WEBSITE HAS BEEN EIZED_files/” adlı bir klasör altında barındırıldığını fark etti; bu, banner'ın bir arşivden çıkarıldığını açıkça gösteriyor.
kaynak: BleepingComputer
Fidye yazılımı uzmanı Fabian Wosar BleepingComputer'a fidye yazılımı çetesinin sahte banner'ı sunmak için basit bir Python SimpleHTTPServer kurduğunu söyledi.
Fabian Wosar, BleepingComputer'a şöyle dedi: “Böylece eski sızıntı sitesindeki yayından kaldırma bildirimini kaydettiler ve bunu yeni sızıntı siteleri altında hizmet verecek bir Python HTTP sunucusu oluşturdular. Tembel,” dedi.
Ayrıca Wosar, Europol ve NCA'daki bağlantılarının “her türlü katılımı reddetti” ALPHV fidye yazılımı sitesini ele geçirmek için.
ALPHV'den olası bir çıkış dolandırıcılığı söylentileri, “Notchy” adı verilen uzun süreli bir ALPHV ortağının, çetenin hesaplarını kapattığını ve Optum'un Sağlık Değişimi için ödediği iddia edilen fidyeden 22 milyon dolarlık bir ödemeyi çaldığını iddia etmesiyle başladı. saldırı.
İddialarının kanıtı olarak ortak, 2 Mart'ta bu işlem için özel olarak kullanıldığı anlaşılan bir cüzdandan gelen yalnızca 350 bitcoin (yaklaşık 23 milyon dolar) tutarındaki tek bir transferin kaydedildiği bir kripto para birimi ödeme adresi paylaştı.
Fonları aldıktan sonra, ALPHV operatörlerine ait olduğu iddia edilen alıcı adresi, bitcoinleri yaklaşık 3,3 milyon dolarlık eşit işlemlerle çeşitli cüzdanlara dağıttı.
Alıcı adresinin artık boş olmasına rağmen, 94 milyon dolara yakın para alıp gönderildiğini gösterdiğini belirtmekte fayda var.
Bağlı kuruluşların ödeme almadığı iddiaları, altyapının aniden kapatılması, birden fazla bağlı kuruluşla bağların kesilmesi, Tox'ta “GG” mesajı verilmesi, kötü amaçlı yazılım kaynak kodunu sattıklarının duyurulması ve özellikle FBI'ın kontrolü ele geçirdiği iddiası tüm bunlar ALPHV/BlackCat fidye yazılımı yöneticilerinin çıkış dolandırıcılığı yaptığının açık bir göstergesidir.
BlackCat/ALPHV fidye yazılımı kimdir?
BlackCat operatörleri en az 2020'den beri fidye yazılımıyla ilgileniyor ve ilk olarak Ağustos 2020'de hizmet olarak fidye yazılımı (RaaS) operasyonu olarak DarkSide olarak piyasaya sürüldü.
RaaS, çekirdek operatörlerin bir fidye yazılımı şifreleyicisi ve müzakere siteleri geliştirmesi ve fidye yazılımı saldırıları gerçekleştirmek ve verileri çalmak için araçlarını kullanmak üzere bağlı kuruluşları işe almasıdır.
Fidye ödendikten sonra operatörler fidye ödemesini bölüşürler; bağlı kuruluşlar ve ekipleri genellikle ödemenin %70-80'ini alır ve geri kalanını operasyon alır.
Tehdit aktörleri, Colonial Pipeline'a geniş çapta duyurulan saldırılarının ardından, küresel kolluk kuvvetlerinin yoğun baskısı altında Mayıs 2021'de DarkSide operasyonunu durdurdu.
Fidye yazılımı çeteleri zaten kolluk kuvvetleri tarafından inceleme altındayken, Colonial Pipeline'a yapılan saldırı, bu siber suç operasyonlarını hedef almaya öncelik veren dünya çapındaki hükümetler için bir dönüm noktasıydı.
Operatörler uzak durmak yerine 31 Temmuz 2021'de BlackMatter adında yeni bir fidye yazılımı operasyonu başlattı. Ancak, Emsisoft'un bir şifre çözücü oluşturmak için bir zayıflıktan yararlanması ve sunucuların ele geçirilmesinin ardından siber suçlular Kasım 2021'de hızla tekrar kapandı.
Fidye yazılımı operatörleri, hatalarından ders almak yerine Kasım 2021'de bu kez BlackCat veya ALPHV adı altında geri döndü.
Çetenin resmi adı ALPHV olmasına rağmen o zamanlar bilinmiyordu, bu yüzden araştırmacılar her kurbanın müzakere sitesinde kullanılan küçük kara kedi simgesinden yola çıkarak ona Kara Kedi adını verdiler.
O zamandan beri fidye yazılımı çetesi, İngilizce konuşan bağlı kuruluşlarla ortaklık kurmak gibi alışılmadık bir yaklaşım benimseyerek gasp taktiklerini sürekli olarak geliştirdi.
Ancak geçen yıl tehdit aktörleri, fiziksel zarar tehdidinde bulunan bağlı kuruluşlarla çalışarak, çalınan verilerden çıplak fotoğraflar yayınlayarak ve agresif bir şekilde mağdurlara seslenerek giderek daha zehirli hale geldi.
Bu yeni gasp stratejisiyle fidye yazılımı çetesi, kolluk kuvvetlerinin hedefine sıkı bir şekilde yerleşti.
Aralık 2023'te uluslararası bir kolluk kuvvetleri operasyonu, fidye yazılımı çetesinin Tor müzakere ve veri sızıntısı sitelerine el koydu.
FBI ayrıca BlackCat'in sunucularını hacklediklerini ve siber suçlular hakkında sessizce bilgi topladıklarını ve kurbanların dosyalarını ücretsiz olarak kurtarmalarına olanak tanıyan şifre çözücüler elde ettiklerini duyurdu.
Fidye yazılımı çetesi, kapanmak yerine faaliyetlerine devam etti ve kritik altyapılara saldırarak ABD hükümetine misilleme yapma sözü verdi.
Geçmişteki hatalarından asla ders almayan fidye yazılımı çetesi, bir kez daha çok ileri giden bir saldırı gerçekleştirdi ve operasyonları küresel kolluk kuvvetlerinin tam incelemesine maruz kaldı.
Birincisi, 2020'deki Colonial Pipeline'dı ve şimdi de UnitedHealth Group'un Change Healthcare'e yapılan saldırı. Change Healthcare saldırısı, eczanelerin ve doktorların sigorta şirketlerine talepte bulunmak için kullandıkları sistemlerin bozulmasının ardından ABD sağlık sistemini önemli ölçüde etkiledi.
Bu aksama, artık indirim kartlarını kullanamayan veya normal sigorta planları kapsamında ilaç alamayan ABD'li hastalar için gerçek dünyada sonuçlara yol açarak onları kritik ilaçlar için geçici olarak tam fiyat ödemeye zorladı.
Tehdit aktörleri ayrıca Change Healthcare'den milyonlarca ABD vatandaşının sağlık bilgilerini içeren 6 TB veriyi çaldıklarını iddia etti.
Verileri sızdırmamak ve şifre çözücüyü almak için Change Healthcare'den 22 milyon dolarlık fidye ödemesi aldıktan sonra bir bağlı kuruluş, BlackCat operatörlerinin paralarını çaldığını iddia etti.
Ancak kolluk kuvvetleri tarafından kesintiye uğratılmak yerine operasyon bir kez daha kapatıldı ve bir çıkış dolandırıcılığı yapıldı.
Bu noktada fidye yazılımı çetesinin yeni bir isimle geri dönüp dönmeyeceği belli değil. Ancak kesin olan bir şey var: itibarları önemli ölçüde zedelendi, bu da bağlı kuruluşların gelecekte onlarla çalışmak isteyip istemeyeceklerini şüpheli hale getiriyor.