BlackCat Fidye Yazılımı Grubu, Change Healthcare Tarafından Yapılan Görünür 22 Milyon Dolarlık Ödemenin Ardından Çöktü – Krebs on Security


ABD sağlık devinin olduğuna dair göstergeler var Sağlık Hizmetini Değiştir Ünlüye 22 milyon dolarlık şantaj ödemesi yaptı Kara kedi fidye yazılımı grubu (diğer adıyla “ALPHV“) şirket, ülke çapında reçeteli ilaç hizmetlerini haftalardır kesintiye uğratan bir siber saldırının ortasında hizmetleri tekrar çevrimiçi hale getirmek için mücadele ederken. Ancak BlackCat'e Change'in ağına erişim izni verdiğini iddia eden siber suçlu, suç çetesinin kendilerine düşen fidye payını aldattığını ve Change'in gruba yok etmesi için ödediği hassas verilerin hâlâ ellerinde olduğunu söylüyor. Bu arada, bağlı kuruluşun açıklaması BlackCat'in faaliyetlerini tamamen durdurmasına neden olmuş gibi görünüyor.

Resim: Kahraman.

Şubat ayının üçüncü haftasında, Change Healthcare'e yapılan bir siber saldırı, şirket sistemlerinin çevrimdışına alınması nedeniyle önemli sağlık hizmetlerini kapatmaya başladı. Yaklaşık iki hafta boyunca ülke çapındaki hastanelere ve eczanelere reçeteli ilaçların teslimatını kesintiye uğratan saldırının arkasında BlackCat'in olduğu kısa sürede ortaya çıktı.

1 Mart'ta, güvenlik araştırmacılarının halihazırda BlackCat ile eşleştirdiği bir kripto para adresi, yaklaşık 22 milyon dolar değerinde tek bir işlem aldı. 3 Mart'ta bir BlackCat üyesi, Rusça dilindeki özel fidye yazılımı forumuna bir şikayette bulundu Rampa Change Healthcare'in şifre çözme anahtarı için ve dört terabaytlık çalınan verinin çevrimiçi yayınlanmasını önlemek için 22 milyon dolar fidye ödediğini söyledi.

Bağlı kuruluş, BlackCat/ALPHV'nin 22 milyon dolarlık ödemeyi aldığını ancak fidyenin kendisine düşen yüzdesini asla ödemediğini iddia etti. BlackCat, bir “hizmet olarak fidye yazılımı” topluluğu olarak biliniyor; bu, fidye yazılımlarını yeni ağlara bulaştırmak için serbest çalışanlara veya bağlı kuruluşlara güvendikleri anlamına geliyor. Ve bu bağlı kuruluşlar da ödenen fidye miktarının yüzde 60 ila 90'ı arasında değişen komisyonlar kazanıyor.

Bağlı kuruluş “Notchy”, “Ancak ödemeyi aldıktan sonra ALPHV ekibi hesabımızı askıya almaya karar verdi ve ALPHV admin ile iletişime geçtiğimizde yalan söylemeye ve geciktirmeye devam etti” diye yazdı. “Ne yazık ki Change Healthcare'in verileri [is] hâlâ bizimle.”

Change Healthcare, ödemeyi ne onayladı ne de reddetti ve birden fazla medya kuruluşuna, şirketin soruşturmaya ve hizmetleri geri yüklemeye odaklandığını belirten benzer bir inkar içermeyen beyanla yanıt verdi.

Change Healthcare'in verilerinin yayınlanmasını önlemek için para ödediğini varsayarsak, bu strateji ters gitmiş gibi görünüyor: Notchy, hassas verileri çaldıkları etkilenen Change Healthcare ortaklarının listesinin de dahil olduğunu söyledi Medicare ve bir dizi başka büyük sigorta ve eczane ağı.

İyi tarafından bakıldığında, Notchy'nin şikayeti, Aralık 2023'ün sonlarında FBI ve yabancı emniyet ortaklarının sızdığı BlackCat fidye yazılımı grubunun tabutuna çakılan son çivi gibi görünüyor. Bu eylemin bir parçası olarak hükümet, BlackCat'e el koydu. Web sitesi ve kurbanların sistemlerini kurtarmalarına yardımcı olacak bir şifre çözme aracı yayınladı.

BlackCat, ortaklık komisyonlarını yeniden düzenleyerek ve yüzde 90'a kadar artırarak yanıt verdi. Fidye yazılımı grubu ayrıca hastaneleri ve sağlık hizmeti sağlayıcılarını hedef almaya yönelik tüm kısıtlamaları veya caydırıcı unsurları resmi olarak kaldırdığını da duyurdu.

Ancak BlackCat'in bir temsilcisi, Notchy'yi tazmin edip yatıştıracakları yönünde yanıt vermek yerine, bugün grubun kapatıldığını ve fidye yazılımı kaynak kodu için zaten bir alıcı bulduğunu söyledi.

Ele geçirme bildirimi artık BlackCat darknet web sitesinde görüntüleniyor.

RAMP üyesi “Ransom” “Bahane üretmenin hiçbir anlamı yok” diye yazdı. “Evet, sorunu biliyorduk ve çözmeye çalışıyorduk. Şubeye beklemesini söyledik. Olan biten her şeyden şok olduğumuz ve işlemlerle ilgili sorunu daha yüksek bir ücret kullanarak çözmeye çalıştığımız özel sohbet kayıtlarımızı size gönderebiliriz, ancak bunu yapmanın bir anlamı yok çünkü projeyi tamamen kapatmaya karar verdik. Federaller tarafından kazıklandığımızı resmen söyleyebiliriz.”

BlackCat'in web sitesinde artık FBI'dan gelen bir el koyma bildirimi yer alıyor, ancak birkaç araştırmacı bu görüntünün FBI'ın Aralık ayında BlackCat'in ağına yaptığı baskın sırasında bıraktığı bildirimden yalnızca kesilip yapıştırılmış gibi göründüğünü belirtti. FBI yorum taleplerine yanıt vermedi.

Fabian Wosargüvenlik firmasında fidye yazılımı araştırma başkanı EmsisoftBlackCat liderlerinin birçok fidye yazılımı ödeme komisyonunu aynı anda durdurarak ve hizmeti kapatarak bağlı kuruluşlar üzerinde bir “çıkış dolandırıcılığı” yapmaya çalıştıklarını söyledi.

Wosar bugün Twitter/X'te “ALPHV/BlackCat ele geçirilmedi” diye yazdı. “İştiraklerini dolandırarak çıkış yapıyorlar. Yeni yayından kaldırma bildiriminin kaynak kodunu kontrol ettiğinizde bu açıkça görülüyor.”

Dmitry SmilyanetsRecorded Future adlı güvenlik firmasının araştırmacılarından biri olan BlackCat'in çıkış dolandırıcılığının özellikle tehlikeli olduğunu, çünkü bağlı kuruluşun çalınan tüm verilere hâlâ sahip olduğunu ve yine de ek ödeme talep edebileceğini veya bilgileri kendi başına sızdırabileceğini söyledi.

Smilyanets, Wired.com'a şunları söyledi: “İştiraklerde hâlâ bu veriler var ve bu parayı alamadıkları için kızgınlar.” “Bu herkes için iyi bir ders. Suçlulara güvenemezsin; onların sözünün hiçbir değeri yok.”

BlackCat'in görünürdeki ölümü, bir başka büyük fidye yazılımı grubunun – dünya çapında 2.000'den fazla kurbandan zorla 120 milyon doların üzerinde ödeme aldığı tahmin edilen bir fidye yazılımı çetesi olan LockBit'in – çöküşünün hemen ardından geldi. 20 Şubat'ta LockBit'in web sitesi, gruba aylarca sızmanın ardından FBI ve Birleşik Krallık Ulusal Suç Ajansı (NCA) tarafından ele geçirildi.

LockBit ayrıca kendisini yeni bir darknet web sitesinde yeniden canlandırarak ve FBI'ın ele geçirilmesinden önceki haftalar ve günlerde grup tarafından saldırıya uğrayan bir dizi büyük şirkete ait verileri yayınlamakla tehdit ederek siber suç forumlarındaki itibarını geri kazanmaya çalıştı.

Ancak LockBit, o zamandan beri grubun bir zamanlar sahip olduğu tüm güvenilirliği kaybetmiş gibi görünüyor. Örneğin, Fulton County, GA hükümetine yönelik çokça tanıtılan bir saldırının ardından LockBit, 29 Şubat'a kadar fidye ödenmediği takdirde Fulton County'nin verilerini yayınlamakla tehdit etti. Ancak 29 Şubat'ta ortaya çıktığında LockBit, Fulton'a ait girişi sildi. İlçeyi kendi sitesinden ve daha önce grup tarafından gasp edilen çeşitli finans kuruluşlarından.

Fulton County, LockBit'e fidye ödemediğini veya bunu onlar adına kimsenin yapmadığını ve LockBit'in neden fidyeyi yayınlama tehdidini yerine getirmediği konusunda herkes kadar şaşkın olduklarını söylemek için bir basın toplantısı düzenledi. ilçenin verileri. Exerts, KrebsOnSecurity LockBit'in muhtemelen blöf yaptığı için direndiğini ve FBI'ın büyük olasılıkla onları baskın sırasında bu verilerden kurtardığını söyledi.

Smilyanets'in yorumları, ilk kez Recorded Future tarafından geçen ay yayınlanan açıklamalarla net bir şekilde ortaya çıktı; burada bir NCA yetkilisi, LockBit'in kurbanlarının çoğunun ödeme yapmasının tek nedeni olmasına rağmen fidye ödendikten sonra verileri asla silmediğini söyledi.

LockBit'in şantaj notlarında genellikle “Size şifre çözücü vermezsek veya ödeme sonrasında verilerinizi silmezsek, gelecekte kimse bize ödeme yapmaz” ifadesi yer alıyor.

Umuyoruz ki, daha fazla şirket çalınan verileri silmeleri için siber dolandırıcılara para ödemenin her açıdan kaybedilecek bir teklif olduğu mesajını almaya başlıyor.



Source link