Feds knurren ALPHV/BlackCat-Ransomware-Operation

Nach fast zweiwöchigen Spekulationen hat das US-Justizministerium die Zerstörung der ALPHV/BlackCat-Leckseiten und die Infiltration des Netzwerks der Ransomware-Gruppe für sich beansprucht.

Experten spekulieren, dass dies pünktlich zu den Feiertagen ein Ende für die Ransomware-Gruppe sein könnte – indem sie ihre Führung in den Ruhestand schickt und ihre Tochtergesellschaften versuchen, einen neuen Betreiber zu finden.

Das FBI ist es auch bietet einen kostenlosen Entschlüsseler an Es wurde entwickelt, um den mehr als 500 identifizierten ALPHV/BlackCat-Opfern bei der Wiederherstellung ihrer Systeme zu helfen.

Laut dem FBI-Durchsuchungsbefehl zur Durchsuchung des BlackCat-Eigentums, der heute zusammen mit einer Ankündigung des Justizministeriums zur Abschaffung entsiegelt wurde, konnten die Strafverfolgungsbehörden infiltrieren BlackCat-Betrieb mit Hilfe einer vertraulichen menschlichen Quelle, die sich bei der Gruppe als Partner beworben hat. Dem Informanten wurden Zugangsdaten zum Dashboard der Ransomware-Gruppe erteilt, das zur Verwaltung von Verstößen, Erpressungsforderungen und Zahlungen verwendet wird, was den Strafverfolgungsbehörden Zugang zu der Operation verschafft, heißt es in dem Haftbefehl.

Hat Scattered Spider BlackCat aufgegeben?

Vor wenigen Wochen hat das FBI Kritik erhalten dafür, dass ich nicht schneller gehandelt habe, um die Dreisten zu verhaften Verstreute Spinne Gruppe. Aber es könnte sein, dass die Polizei aus einer anderen Perspektive vorging.

Yelisey Bohuslavskiy, Chief Research Officer bei RedSense, gehörte zu den Ersten, die bereits am 8. Dezember öffentlich bestätigten, dass die BlackCat-Systemausfälle das Ergebnis von Strafverfolgungsbemühungen waren. Er erzählt Dark Reading, dass Gerede über das Ransomware-Ökosystem darauf hindeutet, dass es sich um Mitglieder von BlackCat handelt Scattered Spider, die im Inneren mit dem FBI zusammenarbeiteten.

„Das klingt überzeugend, da für einen solchen Vorgang lediglich ein Zugriff auf Blog- und Datenserver erforderlich ist, über den ein Mitglied von Scattered Spider möglicherweise verfügt hat“, sagt Bohuslavskiy.

„Hack the Hacker“-Operationen sollen eine Nachricht senden

„Diese Maßnahme der Strafverfolgungsbehörden sendet ein sehr starkes Signal an ALPHV-Tochtergesellschaften und andere Bedrohungsakteure“, erklärte Charles Carmakal, Mandiants beratender CTO für Google Cloud, in einem per E-Mail gesendeten Kommentar gegenüber Dark Reading. „Einige der ALPHV-Partner sind jedoch immer noch aktiv, darunter UNC3944 (Scattered Spider). Wir gehen davon aus, dass einige Partner ihre Einbrüche wie gewohnt fortsetzen werden, aber sie werden wahrscheinlich versuchen, Beziehungen zu anderen Ransomware-as-a-Service (RaaS)-Programmen zur Verschlüsselung, Erpressung und Unterstützung bei der Opferbeschämung aufzubauen.“

Das DoJ bezieht sich auf diese Art von Strafverfolgungsmaßnahmen im Bereich Cybersicherheit Als „Hack the Hacker“-Operationen sollen sie laut Michael McPherson, einem ehemaligen FBI-Spezialagenten und derzeit bei ReliaQuest, Cyberkriminellen überall die Botschaft vermitteln, dass sie der Nächste sein könnten.

„Der gewünschte Effekt einer Störung besteht darin, dass die Kriminellen ihnen über die Schulter schauen“, sagt McPherson. „Sind sie die nächsten? Sind sie bereits von den Strafverfolgungsbehörden unterwandert?“

Es besteht auch das Ziel, die Rentabilität von Cyberkriminellenbanden zu untergraben. McPherson fügte hinzu, dass Strafverfolgungsbehörden akzeptieren, dass es möglicherweise nicht realistisch sei, eine solche zu erwarten takedown, um hochentwickelte Cybercrime-Ringe vollständig zu zerschlagen wie BlackCat. Durch diese raffinierten „Hack the Hacker“-Takedowns hoffen sie, sie zumindest auszubremsen und die Kosten für die Begehung von Cyberkriminalität in die Höhe zu treiben.

Die erfolgreiche Zerstörung einer Gruppe wie BlackCat signalisiert sowohl aktuellen als auch potenziellen Opfern auch, dass es im Falle eines Angriffs durch Ransomware brauchbare Alternativen zur Bezahlung der Erpressung gibt, sagt McPherson.

„In diesem Fall 500 Opfern mit einem Entschlüsselungstool zu helfen, wird den Organisationen hoffentlich zeigen, dass die Zusammenarbeit mit den Strafverfolgungsbehörden eine weitaus bessere Option ist, als die Kriminellen zu bezahlen“, erklärt er. „Trotzdem bleibt Ransomware hochprofitabel und wird Kriminelle nicht davon abhalten, ihr Glück zu versuchen, bis sich die Risiko-Ertrags-Dynamik ändert.“

BlackCats Ransomware-Zukunft düster

Wenn die Geschichte ein Indikator dafür ist, bezweifelt Bohuslavskiy, dass sich die ALPHV/BlackCat-Operation von dieser Abschaltung auf irgendeine sinnvolle Weise erholen kann.

„Basierend auf den früheren Fällen von Strafverfolgungsbehörden erholen sich organisierte kriminelle Gruppen nicht von einem Angriff auf eine kritische Infrastruktur wie der Schließung eines Blogs, da dies zu ihrem existenziellen Scheitern führt“, erklärt er. „Der Blog bietet alles, von Verschlüsselungsschlüsseln bis hin zu verifizierten Kommunikationsmitteln zwischen Gruppenmitgliedern.“ Bohuslavskiy prognostiziert, dass sich die ALPHV-Führung nach der FBI-Störung aus dem Ransomware-Spiel zurückziehen wird.

„AlphV hatte ein sehr kleines Team erstklassiger Penetrationstester. Sie haben genug Geld verdient, um jetzt in den Ruhestand zu gehen, und es gibt nur sehr wenige Verbrecherkollektive, die genug Ruf haben, um Leute mit solchen Fähigkeiten anzuziehen – nämlich Ex-Conti-Kollektive wie BlackSuit oder BlackBasta," er erklärt. „Da sie nirgendwo hingehen können (LockBit wird als äußerst schlecht aufgestellte Regierung mit einer instabilen Verwaltung und einem komischen Support-Team wahrgenommen; Bienenstock wurde aufgelöst, und kleinere Gruppen werden nicht genug Geld haben, um die Pentester dieser Stufe zu bezahlen), ihr logischer Weg ist, in den Ruhestand zu gehen.“

Den Rückzug leichter zu machen, als die Ransomware-Operation fortzusetzen, ist genau das, was das FBI mit der BlackCat/ALPHV-Operation erreichen wollte. „Das ist genau der Grund, warum LEA effektiv ist – es macht die Ermüdung der Gruppe zu einer Waffe, bis sie aufgibt“, fügt Bohuslavskiy hinzu. „Und da es im gesamten Ransomware-Bereich nur sehr wenige fähige Leute gibt, verschlechtert sich das Ransomware-Ökosystem, wenn sie aufgeben.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cybersecurity-operations/feds-snarl-alphv-blackcat-ransomware-operation