ABD sağlık sisteminde kaosa neden olan günler süren kesintilerden sonra, United Healthcare'in Change Healthcare yan kuruluşu, en iyi seçeneğin 23 Şubat'ta sistemlerini ihlal eden BlackCat/ALPHV fidye yazılımı bağlı kuruluşuna ödeme yapmak olduğuna karar verdi. Şaşırtıcı olmayan bir şekilde, bu harcı ödemek işe yaramadı. Sağlık teknolojisi hizmetleri sağlayıcısının umduğu siber olaya düzenli bir son verin.
Uzmanlar bunun mümkün olduğunu düşünüyor Healthcare fidye yazılımı saldırısını değiştirinve daha geniş anlamda ABD sağlık sistemi, ortaklık köprülerini yakan ve markalarını ve mevcut altyapılarını tamamen terk etmeden önce son bir büyük maaş gününün peşinde koşan BlackCat yöneticileri için potansiyel bir çıkış stratejisiyle sarmalanmış durumda.
BlackCat ve Değişim Sağlık Hizmeti Fidye Yazılımı Dramı
Sonrasında Change Healthcare'in Bitcoin cüzdanına 22 milyon dolar yatırdığı bildirildi Bir fidye yazılımı ödemesi olarak BlackCat yöneticileri, Dark Web'de içeri girip tüm parayı kendileri için almakla ve bağlı kuruluşlarını ganimetten pay almakla suçlandı.
Hizmet olarak fidye yazılımı (RaaS) çetesinin hoşnutsuz bir bağlı kuruluşu tarafından Dark Web sitesinde yayınlanan ve Change Healthcare fidye yazılımı ihlalinden sorumlu olduğunu iddia eden bir mesaj, ellerinde hâlâ aşağıdakileri içeren 4 TB'lık kritik verilere sahip olduklarını söyledi: Değişim ortakları CVS-Caremark, Health Net ve MetLife'tan çalınan bilgiler. Mesaj, BlackCat'in bağlı kuruluşa söz verdiği kesintiyi yerine getirmemesi halinde mesajın sızdırılacağı tehdidinde bulunuyordu. Gönderi, diğer üye adaylara yönelik bir uyarıyla sona erdi: “Herkes dikkatli olsun ve ALPHV ile uğraşmayı bırakın.”
BlackCat'in RaaS işi, kuruluşundan bu yana sallantılı bir zeminde bulunuyor. sunuculara kolluk kuvvetleri tarafından el konuldu geçen Aralık ayında grubun tüm altyapısı tehlikeye girdi. BlackCat iyileşmeyi başardı ve yeni sunucular kurdular, ancak yine de kolluk kuvvetlerinin koduna erişimi vardı.
Eğer doğruysa, BlackCat yöneticilerinin 22 milyon dolarlık Change Healthcare fidye ödemesini çalması, Black Kite araştırma başkanı Ferhat Dikbiyk'e göre gerçekten de BlackCat'in sonunun sinyalini verebilecek “acımasız bir ihaneti” temsil edecektir.
Dikbıyık, “Çıkış dolandırıcılığı karaborsalarda oldukça yaygın, ancak Rus fidye yazılımı grupları arasında o kadar yaygın değil” diyor. “Ancak dijital gölgelerde böyle bir hamle, yeniden markalaşma çabasına, ilgi odağından kayıp temiz bir sayfa açarak yeniden ortaya çıkma şansına benzetilebilir.”
BlackCat Çıkış Stratejisinin Kanıtı
Geçtiğimiz gün Tor sohbeti aracılığıyla BlackCat'in sızıntı sitesini kapattığını ve ilgilenen herkes için RaaS kaynak kodunu 5 milyon dolara satışa sunduğunu duyurdu. Bir süre sonra çarpıcı bir geri dönüş bir dizi yüksek profilli saldırıve BlackCat'in konumu göz önüne alındığında iki kat daha fazla en iyi fidye yazılımı çetesi şimdi LockBit, bir yasa uygulama eylemi nedeniyle devre dışı bırakıldı.
Açıklama yoluyla, Fidye yazılımı çetesi “Federalleri” tekrar müdahale etmekle suçluyor işiyle birlikte. Ancak GuidePoint Security'de kıdemli bir tehdit istihbaratı danışmanı olan Nic Finn'in de aralarında bulunduğu uzmanlar, BlackCat sunucularının bu sefer kolluk kuvvetleri tarafından kapatıldığına dair herhangi bir kanıt görmüyor.
Finn, “BlackCat'in, altyapılarını kapatmadan ve iletişimleri kesmeden önce bağlı kuruluşlarından fidye ödemelerini çaldıkları bir çıkış dolandırıcılığı başlattığı yönünde birçok spekülasyon var” diyor. “Bunu başka bir FBI operasyonu gibi gösterme kararları, bu arada bağlı kuruluşlarından gelecek herhangi bir olumsuz yanıtı geciktirmelerine yardımcı olacaktır.”
Sonuçta, güvenilir bağlı kuruluşlardan oluşan bir temel oluşturmak, RaaS işinin gerçekleşmesini sağlayan gizli sosdur. Ve bir bağlı kuruluşun kamuya açık olarak yakılması, potansiyel ortakların BlackCat'e dahil olmalarını kesinlikle caydıracaktır; bu da yöneticilerin, şu anki haliyle işletme için pek fazla gelecek planının olmadığını gösteriyor.
Bitcoin Değeri, Ukrayna, BlackCat Parçalanmasında Diğer Potansiyel Faktörler
DomainTools'un güvenlik danışmanı Malachai Walker, e-postayla gönderilen bir açıklamada, Bitcoin'in değerinin tüm zamanların en yüksek seviyelerine ulaşması nedeniyle BlackCat yöneticilerinin bu dönemde işten para çekmeye ve bağlı kuruluşları dolandırmaya karar vermesinin mümkün olduğuna dikkat çekti.
Ya da Walker, BlackCat liderliğinin para kazanmaya hazır olmasının bir başka olası nedeninin de Ukrayna olduğunu ekledi.
Walker, “Diğer bir olasılık da, bu çıkış dolandırıcılığının, Rusya'nın BlackCat'in omzuna dokunup onlara yan işlerini bırakmalarını ve dikkatlerini Ukrayna'ya karşı savaşta fidye yazılımı yeteneklerinden yararlanmaya yöneltmelerini söylemesinin bir sonucu olmasıdır” dedi. “Durum ne olursa olsun, BlackCat'in bu eylemleri büyük ilgi görüyor.”
BlackCat hamlelerinin arkasında tam olarak kimin olduğuna bakılmaksızın, Mitiga COO'su ve kurucu ortağı Ariel Parnes, kanıtların BlackCat fidye yazılımı operasyonunu istikrarsızlaştırmak için inkar edilemez bir çaba sarf edildiğini gösterdiğini söyledi.
Parnes, “BlackCat'in faaliyetlerini gönüllü olarak durdurmuş gibi görünse de, daha yakından bakıldığında daha karmaşık bir senaryo ortaya çıkıyor” diyor. “Sunucularının eşzamanlı olarak devre dışı bırakılması, ortaklarının dolandırıldığı iddialarıyla aynı zamana denk geliyor, BlackCat'in itibarını zedelemeye yönelik potansiyel olarak kapsamlı bir çabaya işaret ediyor.”
Hırsızlar arasında onur genellikle yetersiz olsa da siber suç dünyasında marka her şeydir.
Parnes, “Bu tür siber suçluların operasyonel sürdürülebilirliği, büyük ölçüde gizli ekosistemlerindeki güvenilirliklerine bağlı” diye ekliyor. “İtibarlarına yönelik bir taviz, operasyonel temellerini kritik bir şekilde zayıflatabilir ve varoluşsal bir tehdit oluşturabilir.”
Bu arada Change Healthcare, Dark Reading'e yaptığı açıklamada, “Soruşturmaya odaklandık” dedi.