Yaklaşık iki hafta süren spekülasyonların ardından ABD Adalet Bakanlığı, ALPHV/BlackCat sızıntı sitelerinin kapatılması ve fidye yazılımı grubunun ağına sızma sorumluluğunu üstlendi.
Uzmanlar, bunun fidye yazılımı grubu için tam da tatil zamanında bir son olabileceğini, lider kadrosunu emekliliğe göndereceğini ve bağlı şirketlerin yeni bir operatör bulmaya çalışacağını tahmin ediyor.
FBI aynı zamanda ücretsiz bir şifre çözücü sunuyor tespit ettiği 500’den fazla ALPHV/BlackCat kurbanının sistemlerini kurtarmalarına yardımcı olmak için geliştirildi.
FBI’ın BlackCat mülkünü arama emrine göre, bugün mühürlenen ve DoJ’un yayından kaldırmaya ilişkin duyurusuna göre kolluk kuvvetleri, BlackCat mülküne sızmayı başardı. BlackCat operasyonu gruba üye olmak için başvuran gizli bir insan kaynağının yardımıyla. Müzekkere, muhbire fidye yazılımı grubunun ihlalleri, gasp taleplerini ve ödemeleri yönetmek için kullanılan kontrol paneline erişim bilgilerinin verildiğini ve bunun kolluk kuvvetlerine operasyona dahil olma olanağı sağladığını belirtti.
Dağınık Örümcek BlackCat’ten Vazgeçti mi?
Birkaç hafta önce FBI eleştiri aldı arsızı tutuklamak için daha hızlı hareket etmediğin için Dağınık Örümcek grup. Ama polisler başka bir açıdan çalışıyor da olabilir.
RedSense’in baş araştırma görevlisi Yelisey Bohuslavskiy, 8 Aralık’ta BlackCat sistemindeki kesintilerin kolluk kuvvetlerinin çabalarının sonucu olduğunu kamuoyuna doğrulayan ilk kişiler arasında yer aldı. Kendisi Dark Reading’e, fidye yazılımı ekosistemindeki dedikoduların BlackCat’in üyeleri olduğuna işaret ettiğini söyledi. FBI ile içeride çalışan Dağınık Örümcek.
Bohuslavskiy, “Böyle bir operasyon için gereken tek şey, Scattered Spider’ın bir üyesinin sahip olabileceği blog ve veri sunucularına erişim olduğundan, bu kulağa ilgi çekici geliyor” diyor.
“Hack the Hacker” Operasyonları Mesaj Göndermeyi Amaçladı
Mandiant’ın Google Cloud danışmanlık CTO’su Charles Carmakal, e-postayla gönderilen bir yorumda Dark Reading’e şunları söyledi: “Kolluk kuvvetlerinin bu eylemi, ALPHV bağlı kuruluşlarına ve diğer tehdit aktörlerine çok güçlü bir mesaj gönderiyor.” “Ancak, UNC3944 (Dağınık Örümcek) dahil olmak üzere ALPHV bağlı kuruluşlarından bazıları hala aktif. Bazı bağlı kuruluşların izinsiz girişlerine normal şekilde devam etmelerini bekliyoruz, ancak muhtemelen diğer hizmet olarak fidye yazılımı (RaaS) programlarıyla ilişkiler kurmaya çalışacaklar. Şifreleme, gasp ve kurbanı utandırmaya yönelik destek için.”
DoJ bu türlere atıfta bulunur siber güvenlik yasa uygulama eylemleri Şu anda ReliaQuest’te görev yapan eski bir FBI özel ajanı olan Michael McPherson’a göre, “hack hacker” operasyonları olarak bu operasyonların amacı, siber suçlulara bir sonraki adımın kendileri olabileceği mesajını her yerde göndermek.
McPherson, “Bir aksaklığın arzu edilen etkisi, suçluların arkalarından bakmalarını sağlamaktır” diyor. “Sıradaki onlar mı? Zaten kolluk kuvvetleri tarafından sızmışlar mı?”
Ayrıca siber suç çetelerinin karlılığını baltalama hedefi de var. McPherson, kolluk kuvvetlerinin, bir yaptırım beklemenin gerçekçi olmayabileceğini kabul ettiğini ekledi. Gelişmiş siber suç şebekelerini tamamen ortadan kaldırmak için yayından kaldırma BlackCat’e benziyor. Bu sofistike “hacker hackleme” yoluyla, en azından onları yavaşlatmayı ve siber suç işlemenin maliyetini artırmayı umuyorlar.
McPherson, BlackCat gibi bir grubun başarılı bir şekilde parçalanmasının, hem mevcut hem de potansiyel kurbanlara, fidye yazılımı tarafından ihlal edildiklerinde, şantajı ödemenin geçerli alternatifleri olduğu sinyalini verdiğini söylüyor.
“Bu örnekte 500 mağdura şifre çözme aracıyla yardım etmek, kuruluşlara kolluk kuvvetleriyle işbirliği yapmanın suçlulara ödeme yapmaktan çok daha iyi bir seçenek olduğunu gösterecektir” diye açıklıyor. “Bununla birlikte, fidye yazılımı son derece karlı olmaya devam ediyor ve risk-ödül dinamiği değişene kadar suçluların şanslarını denemelerini engellemeyecek.”
BlackCat’in Fidye Yazılımının Geleceği Kasvetli
Eğer tarih bir gösterge ise, Bohuslavskiy, ALPHV/BlackCat operasyonunun bu çökertme sonrasında anlamlı bir şekilde toparlanabileceğinden şüpheli.
“Kolluk teşkilatlarının daha önceki vakalarına göre, organize suç grupları, blogların kapatılması gibi kritik bir altyapı darbesinden sonra toparlanamıyor çünkü bu onların varoluşsal başarısızlığına yol açıyor” diye açıklıyor. “Blogda şifreleme anahtarlarından grup üyeleri arasındaki doğrulanmış iletişim araçlarına kadar her şey var.”Bohuslavskiy, ALPHV liderliğinin FBI’ın kesintiye uğramasının ardından fidye yazılımı oyunundan çekileceğini tahmin ediyor.
“AlphV’nin üst düzey kalem testçilerinden oluşan çok küçük bir ekibi vardı. Artık emekli olmaya yetecek kadar para kazandılar ve bu tür becerilere sahip insanları cezbetmeye yetecek kadar itibara sahip olan çok az suç kolektifi var – yani BlackSuit veya gibi eski Conti kolektifleri SiyahBasta,” diye açıklıyor. “Gidecek hiçbir yerleri olmayacağından (Kilit Biti istikrarsız bir yönetici ve komik bir destek ekibinden oluşan son derece zayıf bir hükümet olarak algılanıyor; Kovan dağıldı ve daha küçük gruplar bu seviyedeki pentester’lara ödeme yapmaya yetecek paraya sahip olmayacak), onların mantıksal yolu emekli olmaktır.”
FBI’ın BlackCat/ALPHV operasyonuyla başarmayı umduğu şey tam olarak fidye yazılımı operasyonuna devam etmektense emekli olmayı kolaylaştırmaktı. “LEA’nın etkili olmasının nedeni tam olarak bu; grubun yorgunluğunu bırakma noktasına kadar silah haline getiriyor,” diye ekliyor Bohuslavskiy. “Ve fidye yazılımı alanında yetenekli kişi sayısı çok az olduğundan, onlar vazgeçtikçe fidye yazılımı ekosistemi bozuluyor.”