Οι χάκερ πίσω από το «λυτρισμικό» (ransomware) BlackCat έκλεισαν τον ιστότοπό τους στο darknet σε μία απάτη εξόδου (Exit Scam) καθώς ανάρτησαν μία ψεύτικη εικόνα που έδειχνε ότι το site κατασχέθηκε από τις αρχές επιβολής του νόμου.
Το Ransomware είναι ένα κακόβουλο λογισμικό ή ιός, το οποίο εισβάλλει στον ηλεκτρονικό υπολογιστή ενός θύματος, είτε από mail, είτε από κάποια διαφήμιση και υποκλέπτει πληροφορίες ή κλειδώνει τους χρήστες εκτός των λογαριασμών τους μέχρι εκείνοι να τους πληρώσουν ένα σημαντικό πόσο ώστε να ανακτήσουν πίσω τα προσωπικά τους δεδομένα.
«Οι ομοσπονδιακοί μας την έφεραν»
Η συμμορία του ransomware ξεκίνησε την απάτη εξόδου την Παρασκευή, όταν έβγαλε εκτός λειτουργίας το blog διαρροής δεδομένων Tor. Τη Δευτέρα, έκλεισαν περαιτέρω τους διακομιστές διαπραγμάτευσης, λέγοντας ότι αποφάσισαν να απενεργοποιήσουν τα πάντα. Το status της συμμορίας στο Tox άλλαξε σε “GG” (“good game”) υπονοώντας το τέλος της επιχείρησης, και αργότερα σε “selling source code 5kk”, υποδεικνύοντας ότι ήθελαν 5 εκατομμύρια δολάρια για το κακόβουλο λογισμικό τους.
Σε ένα μήνυμα σε ένα φόρουμ χάκερ που μοιράστηκε ο Dmitry Smilyanets της Recorded Future, οι διαχειριστές της επιχείρησης ανέφεραν ότι “αποφάσισαν να κλείσουν εντελώς το έργο” και «μπορούμε να δηλώσουμε επίσημα ότι οι ομοσπονδιακοί μας την έφεραν».
Ο ιστότοπος του ALPHV παρουσιάζει ένα ψεύτικο banner που ανακοινώνει ότι το Ομοσπονδιακό Γραφείο Ερευνών (FBI) κατέσχεσε τον διακομιστή στο πλαίσιο μιας “συντονισμένης δράσης επιβολής του νόμου κατά του ALPHV Blackcat Ransomware.
«Είναι απάτη – Η BlackCat δεν κατασχέθηκε»
«Το ALPHV/BlackCat δεν κατασχέθηκε. Εξαπατούν τις θυγατρικές τους», δήλωσε ο ερευνητής ασφαλείας Fabian Wosar. «Είναι ολοφάνερο όταν ελέγξετε τον πηγαίο κώδικα της νέας ειδοποίησης κατάσχεσης. Υπάρχει απολύτως μηδενικός λόγος για τον οποίο οι αρχές επιβολής του νόμου θα έβαζαν απλώς μια αποθηκευμένη έκδοση της ειδοποίησης κατάσχεσης κατά τη διάρκεια μιας κατάσχεσης αντί της αρχικής ειδοποίησης κατάσχεσης» τόνισε.
Η Εθνική Υπηρεσία Καταπολέμησης του Εγκλήματος (NCA) του Ηνωμένου Βασιλείου δήλωσε στο Reuters ότι δεν είχε καμία σχέση με τυχόν διαταραχές στις υποδομές του BlackCat.
Ο ερευνητής ασφαλείας της Recorded Future, Dmitry Smilyanets, δημοσίευσε screenshot στο X, πρώην Twitter, στα οποία οι συντελεστές της BlackCat ισχυρίζονταν ότι οι «ομοσπονδιακοί μας την έφεραν» και ότι σκόπευαν να πουλήσουν τον πηγαίο κώδικα του ransomware για 5 εκατομμύρια δολάρια.
Αυτό το κόλπο εξαφάνισης έρχεται αφού η «Blackcat» φέρεται να έλαβε μια πληρωμή λύτρων ύψους 22 εκατομμυρίων δολαρίων από τη μονάδα Change Healthcare της UnitedHealth (Optum) και αρνήθηκε να μοιραστεί τα έσοδα με μια θυγατρική εταιρεία που είχε πραγματοποιήσει την επίθεση.
Η εταιρεία δεν έχει σχολιάσει την υποτιθέμενη πληρωμή λύτρων, δηλώνοντας ότι επικεντρώνεται μόνο στις πτυχές της έρευνας και της ανάκτησης του περιστατικού.
Σύμφωνα με το DataBreaches, ο δυσαρεστημένος συνεργάτης της «Blackcat» έκανε τους ισχυρισμούς στο φόρουμ για το έγκλημα στον κυβερνοχώρο RAMP. «Άδειασαν το πορτοφόλι και πήραν όλα τα χρήματα», ανέφερε.
Θα επιστρέψει η BlackCat με νέο όνομα;
Οι ισχυρισμοί αυτοί έχουν προκαλέσει εικασίες ότι η BlackCat σκηνοθέτησε την απάτη εξόδου της για να αποφύγει τον έλεγχο και να επανεμφανιστεί στο μέλλον με νέο εμπορικό σήμα. «Εκκρεμεί μια νέα επωνυμία» ανέφερε ένας πρώην πλέον διαχειριστής της ομάδας ransomware.
Οι υποδομές της BlackCat κατασχέθηκαν από τις αρχές επιβολής του νόμου τον Δεκέμβριο του 2023, αλλά η συμμορία ηλεκτρονικού εγκλήματος κατάφερε να πάρει τον έλεγχο των διακομιστών της και να επανεκκινήσει τις δραστηριότητές της χωρίς σημαντικές συνέπειες. Η ομάδα λειτουργούσε στο παρελθόν με τα ψευδώνυμα DarkSide και BlackMatter.
«Εσωτερικά, η BlackCat μπορεί να ανησυχεί για σπιούνους εντός της ομάδας της και το προληπτικό κλείσιμο του “καταστήματος” θα μπορούσε να σταματήσει ένα νέο “κατέβασμα” πριν αυτό συμβεί» τόνισε ο σύμβουλος ασφαλείας της DomainTools, Malachi Walker
«Από την άλλη πλευρά, αυτή η απάτη εξόδου μπορεί απλά να είναι μια ευκαιρία για την BlackCat να πάρει τα χρήματα και να φύγει. Δεδομένου ότι τα κρυπτονομίσματα βρίσκονται και πάλι σε υψηλό επίπεδο, η συμμορία μπορεί να ξεφύγει με το να πουλήσει το προϊόν της “σε πολύ υψηλές τιμές”. Στον κόσμο του κυβερνοεγκλήματος, η φήμη είναι το παν, και η BlackCat φαίνεται να καίει τις γέφυρες με τους συνεργάτες της με αυτές τις ενέργειες» συμπλήρωσε.
Η προφανής κατάρρευση της ομάδας και η εγκατάλειψη των υποδομών της έρχονται καθώς η ομάδα έρευνας κακόβουλου λογισμικού VX-Underground ανέφερε ότι η επιχείρηση LockBit ransomware δεν υποστηρίζει πλέον το Lockbit Red (γνωστό και ως Lockbit 2.0) και το StealBit, ένα προσαρμοσμένο εργαλείο που χρησιμοποιείται από τον δράστη της απειλής για την απόκτηση δεδομένων.
Η LockBit προσπάθησε επίσης να σώσει τα προσχήματα, μεταφέροντας ορισμένες από τις δραστηριότητές της σε μια νέα πύλη σκοτεινού ιστού, αφού μια συντονισμένη επιχείρηση των αρχών επιβολής του νόμου κατέστρεψε τις υποδομές της τον περασμένο μήνα έπειτα από πολύμηνη έρευνα.
Έρχεται επίσης καθώς η Trend Micro αποκάλυψε ότι η οικογένεια ransomware που είναι γνωστή ως RA World (πρώην RA Group) έχει διεισδύσει με επιτυχία σε εταιρείες υγειονομικής περίθαλψης, χρηματοδότησης και ασφάλισης στις ΗΠΑ, τη Γερμανία, την Ινδία, την Ταϊβάν και άλλες χώρες από τότε που εμφανίστηκε τον Απρίλιο του 2023.
Οι επιθέσεις που εξαπολύει η ομάδα “περιλαμβάνουν στοιχεία πολλαπλών σταδίων που έχουν σχεδιαστεί για να εξασφαλίζουν τον μέγιστο αντίκτυπο και την επιτυχία στις επιχειρήσεις της ομάδας”, σημειώνει η εταιρεία κυβερνοασφάλειας.