ABD Federal Soruşturma Bürosu (FBI) bugün, Rusya merkezli bir suç grubu olan dünyanın en üretken ikinci fidye yazılımı çetesine sızdığını açıkladı. ALPHV Ve Kara kedi. FBI, çetenin darknet web sitesine el koyduğunu ve yüzlerce kurban şirketin sistemleri kurtarmak için kullanabileceği bir şifre çözme aracı yayınladığını söyledi. Bu arada BlackCat, suç grubuyla çalışmaya devam eden bağlı kuruluşlar için yüzde 90 komisyon ve hastanelerden nükleer santrallere kadar her şey için açık sezon vaat eden bir mesajla darknet sitesini kısaca “geri alarak” yanıt verdi.
BlackCat karanlık ağ sitesindeki FBI el koyma bildiriminin biraz değiştirilmiş bir versiyonu (Noel Baba şapkaları eklendi).
BlackCat’e karşı olası bir kolluk kuvveti eyleminin fısıltıları, fidye yazılımı grubunun darknet sitesinin çevrimdışı kalması ve yaklaşık beş gün boyunca kullanılamamasının ardından Aralık ayının ilk haftasında geldi. BlackCat sonunda sitesini tekrar çevrimiçi hale getirmeyi başardı ve kesintinin sorumlusu olarak ekipman arızaları.
Ancak bugün erken saatlerde, BlackCat web sitesinin yerine FBI’ın el koyma bildirimi konuldu ve Florida’daki federal savcılar, FBI ajanlarının grubun operasyonlarına nasıl erişebildiğini ve bunları nasıl bozabildiğini açıklayan bir arama emri yayınladı.
Operasyona ilişkin TSK’dan açıklama ABD Adalet Bakanlığı FBI’ın, dünya çapındaki kurum saha ofisleri ve ortaklarına, etkilenen 500’den fazla kurbana sistemlerini geri yükleme olanağı sunmasına olanak tanıyan bir şifre çözme aracı geliştirdiğini söylüyor.
“FBI’ın dünya çapındaki yüzlerce fidye yazılımı kurbanına sağladığı şifre çözme aracı sayesinde işletmeler ve okullar yeniden açılabildi ve sağlık hizmetleri ile acil servisler tekrar çevrimiçi olabildi.” Başsavcı Yardımcısı Lisa O. Monako söz konusu. “Siber suçları besleyen ekosistemi ortadan kaldırmak için aksaklıklara öncelik vermeye ve mağdurları stratejimizin merkezine koymaya devam edeceğiz.”
Adalet Bakanlığı, BlackCat’in yaklaşık 18 ay önceki oluşumundan bu yana suç grubunun 1000’den fazla mağdur örgütünün bilgisayar ağlarını hedef aldığını bildirdi. BlackCat saldırıları genellikle şifrelemeyi ve veri hırsızlığını içerir; Kurbanlar fidye ödemeyi reddederse saldırganlar genellikle çalınan verileri BlackCat bağlantılı bir darknet sitesinde yayınlıyor.
BlackCat, aralarında REvil, BlackMatter ve DarkSide’ın da bulunduğu çeşitli rakip veya dağılmış fidye yazılımı kuruluşlarından operatörlerin işe alınmasıyla oluşturuldu. İkinci grup, Mayıs 2021’de ülke çapında yakıt kıtlığına ve fiyat artışlarına neden olan Koloni Boru Hattı saldırısından sorumluydu.
Diğer birçok fidye yazılımı operasyonu gibi BlackCat da geliştirici ekiplerinin fidye yazılımı kodunun yanı sıra tüm destekleyici altyapısını koruduğu ve güncellediği “hizmet olarak fidye yazılımı” modeli altında çalışır. Ortaklar yüksek değerli hedeflere saldırmaya teşvik ediliyor çünkü genel olarak ödemelerin yüzde 60-80’ini alıyorlar ve geri kalanı fidye yazılımı operasyonunu yürüten dolandırıcılara gidiyor.
BlackCat bugün darknet sunucusunun kontrolünü kısa süreliğine yeniden ele geçirmeyi başardı. FBI’ın el koyma bildiriminin yayınlanmasından kısa bir süre sonra ana sayfa “ele geçirilmedi” ve fidye yazılımı grubunun bakış açısına göre olayla ilgili bir açıklama eklendi.
Bu sabah BlackCat fidye yazılımı grubunun ana sayfasında kısaca yer alan mesaj. Resim: @GossiTheDog.
BlackCat, FBI’ın operasyonlarının sadece operasyonlarının bir kısmını etkilediğini ve FBI’ın eylemleri sonucunda ilave 3.000 kurbanın artık şifre çözme anahtarlarını alma seçeneğine sahip olmayacağını iddia etti. Grup ayrıca hastanelerin veya diğer kritik altyapıların hedef alınmasına yönelik her türlü kısıtlama veya caydırıcılığın resmi olarak kaldırıldığını da belirtti.
“Onların eylemleri nedeniyle yeni kurallar getiriyoruz, daha doğrusu biri hariç TÜM kuralları kaldırıyoruz, BDT’ye dokunamazsınız [a common restriction against attacking organizations in Russia or the Commonwealth of Independent States]. Artık hastaneleri, nükleer santralleri, her şeyi, her yerde engelleyebilirsiniz.”
Suç grubu ayrıca, muhtemelen FBI’ın yakın zamandaki sızmasından korkabilecek potansiyel bağlı kuruluşların ilgisini çekmek için bağlı kuruluş komisyonlarını yüzde 90 olarak belirlediğini de söyledi. BlackCat ayrıca bu yeni plan kapsamındaki tüm “reklamverenlerin” bağlı kuruluş hesaplarını birbirlerinden tamamen izole edilmiş veri merkezlerinden yöneteceklerinin sözünü verdi.
BlackCat’in darknet sitesinde şu anda FBI’ın ele geçirme bildirimi görüntüleniyor. Ancak BleepingBilgisayar kurucu Lawrence Abrams’ın Mastodon’da açıklandığı üzere hem FBI hem de BlackCat, BlackCat’in kurbanları utandırma ve veri sızıntısı sitesi için Tor gizli hizmet URL’si ile ilişkili özel anahtarlara sahiptir.
Abrams, “Tor’da gizli hizmeti (bu durumda BlackCat veri sızıntısı sitesi) yayınlayan en son kişi, URL üzerindeki kontrolünü sürdürecek” dedi. “Önümüzdeki birkaç gün içinde bu tür gidiş gelişleri görmeyi bekliyoruz.”
Adalet Bakanlığı, BlackCat bağlı kuruluşları veya onların faaliyetleri hakkında bilgisi olan herkesin, Tor tabanlı bir ihbar hattı yoluyla başvuruları kabul eden Dışişleri Bakanlığı’nın “Adalet İçin Ödüller” programı aracılığıyla 10 milyon dolara kadar ödül almaya hak kazanabileceğini söylüyor (siteyi ziyaret etmek yalnızca mümkündür) Tor tarayıcısını kullanarak).
Daha fazla okuma: ALPHV/BlackCat tarafından kullanılan araçlar, teknikler ve prosedürler hakkında CISA StopRansomware Uyarısı.