BlackCat fidye yazılımının arkasındaki tehdit aktörleri, karanlık ağ web sitelerini kapattılar ve büyük olasılıkla sahte kolluk kuvvetlerine el koyma afişi yükledikten sonra bir çıkış dolandırıcılığı yaptılar.
Güvenlik araştırmacısı Fabian Wosar, “ALPHV/BlackCat ele geçirilmedi. Bağlı kuruluşlarını dolandırarak çıkış yapıyorlar.” söz konusu. “Yeni yayından kaldırma bildiriminin kaynak kodunu kontrol ettiğinizde bu açıkça görülüyor.”
“Kolluk kuvvetlerinin bir el koyma sırasında orijinal yayından kaldırma bildirimi yerine yayından kaldırma bildiriminin kaydedilmiş bir versiyonunu koymasının kesinlikle sıfır nedeni var.”
Birleşik Krallık Ulusal Suç Dairesi (NCA), Reuters'e BlackCat altyapısındaki herhangi bir kesintiyle hiçbir bağlantısının olmadığını söyledi.
Kaydedilmiş Geleceğin güvenlik araştırmacısı Dmitry Smilyanets gönderildi BlackCat aktörlerinin “federallerin bizi kazıkladığını” ve fidye yazılımının kaynak kodunu 5 milyon dolara satmayı planladıklarını iddia ettikleri sosyal medya platformu X'teki ekran görüntüleri.
Ortadan kaybolma eylemi, UnitedHealth'in Change Healthcare biriminden (Optum) 22 milyon dolarlık fidye ödemesi aldığı ve geliri saldırıyı gerçekleştiren bağlı kuruluşla paylaşmayı reddettiği iddiasının ardından gerçekleşti.
Şirket, iddia edilen fidye ödemesi hakkında yorum yapmadı, bunun yerine olayın yalnızca soruşturma ve kurtarma yönlerine odaklandığını belirtti.
DataBreaches'e göre, hesabı idari personel tarafından askıya alınan hoşnutsuz üye, iddiaları RAMP siber suç forumunda dile getirdi. “Cüzdanı boşaltıp tüm parayı aldılar” dediler.
Bu durum, BlackCat'in incelemeden kaçmak ve gelecekte yeni bir marka altında yeniden ortaya çıkmak için bir çıkış dolandırıcılığı düzenlediği yönündeki spekülasyonları artırdı. Fidye yazılımı grubunun artık eski bir yöneticisinin “Yeniden markalaşma bekleniyor” dediği aktarıldı.
BlackCat'in altyapısı Aralık 2023'te kolluk kuvvetleri tarafından ele geçirildi, ancak e-suç çetesi sunucularının kontrolünü ele geçirmeyi ve herhangi bir önemli sonuçla karşılaşmadan faaliyetlerini yeniden başlatmayı başardı. Grup daha önce DarkSide ve BlackMatter takma adlarıyla faaliyet gösteriyordu.
DomainTools'un güvenlik danışmanı Malachi Walker, “Dahili olarak BlackCat, grup içindeki köstebeklerden endişe duyabilir ve önleyici olarak dükkanı kapatmak, bir yayından kaldırma işlemini gerçekleşmeden durdurabilir” dedi.
“Öte yandan, bu çıkış dolandırıcılığı, BlackCat'in parayı alıp kaçması için bir fırsat olabilir. Kripto bir kez daha tüm zamanların en yüksek seviyesinde olduğundan, çete, ürünlerini 'yüksek' olarak satmaktan kurtulabilir. Siber suç dünyasında itibar her şeydir ve BlackCat bu eylemleriyle bağlı kuruluşlarıyla köprüleri yakıyor gibi görünüyor.”
Grubun görünürdeki ölümü ve altyapısının terk edilmesi, kötü amaçlı yazılım araştırma grubu VX-Underground'un ortaya çıkmasıyla ortaya çıktı. rapor edildi LockBit fidye yazılımı işleminin artık Lockbit Red'i (diğer adıyla Lockbit 2.0) ve tehdit aktörü tarafından veri hırsızlığı için kullanılan özel bir araç olan StealBit'i desteklemediğini bildirdi.
LockBit ayrıca, aylarca süren bir soruşturmanın ardından geçen ay koordineli bir kolluk kuvveti operasyonunun altyapısını çökertmesinin ardından bazı faaliyetlerini yeni bir karanlık web portalına taşıyarak itibarını kurtarmaya çalıştı.
Ayrıca Trend Micro, RA World (eski adıyla RA Group) olarak bilinen fidye yazılımı ailesinin Nisan 2023'te ortaya çıkmasından bu yana ABD, Almanya, Hindistan, Tayvan ve diğer ülkelerdeki sağlık, finans ve sigorta şirketlerine başarıyla sızdığını ortaya çıkardı.
Siber güvenlik firması, grup tarafından gerçekleştirilen saldırıların “grubun operasyonlarında maksimum etki ve başarıyı sağlamak için tasarlanmış çok aşamalı bileşenleri içerdiğini” belirtti.