Feds Snarl ALPHV/BlackCat Ransomware Operation

Lähes kahden viikon spekuloinnin jälkeen Yhdysvaltain oikeusministeriö on vaatinut ansiota ALPHV/BlackCat-vuotosivustojen poistamisesta ja ransomware-ryhmän verkkoon soluttautumisesta.

Asiantuntijat spekuloivat, että tämä voisi olla kiristyshaittaohjelmaryhmän kääre juuri ennen lomaa – sen johto siirtyy eläkkeelle ja sen tytäryhtiöt yrittämään löytää uusi operaattori.

FBI on myös tarjoaa ilmaisen salauksenpurkuohjelman jonka se kehitti auttamaan yli 500 tunnistamaansa ALPHV/BlackCat-uhria palauttamaan järjestelmänsä.

FBI:n BlackCatin omaisuuden etsintämääräyksen mukaan, joka sinetöitiin tänään ja DoJ:n ilmoituksen poistamisesta, lainvalvontaviranomaiset onnistuivat soluttautumaan BlackCat-toiminta luottamuksellisen ihmislähteen avustuksella, joka haki ryhmän kanssa sisaryritykseksi tulemista. Ilmoittajalle annettiin valtuudet ransomware-ryhmän kojelautaan, jota käytettiin rikkomusten, kiristysvaatimusten ja maksujen hallintaan, mikä antoi lainvalvontaviranomaisille mahdollisuuden osallistua toimintaan, määräyksessä sanottiin.

Luopuiko Scattered Spider BlackCatista?

Vain viikkoja sitten, FBI sai kritiikkiä koska ei toiminut nopeammin pidätelläkseen röyhkeitä Hajallaan hämähäkki ryhmä. Mutta voi olla, että poliisit työskentelivät toisesta näkökulmasta.

Yelisey Bohuslavskiy, RedSensen tutkimuspäällikkö, oli ensimmäisten joukossa julkisesti vahvistanut, että BlackCat-järjestelmän katkokset olivat seurausta lainvalvontatoimista, jo 8. joulukuuta. Hän kertoo Dark Readingille, että kiristyshaittaohjelmien ekosysteemikeskustelu osoittaa sen olevan jäsenenä Hajallaan oleva Hämähäkki, joka työskenteli sisällä FBI:n kanssa.

"Tämä kuulostaa vakuuttavalta, sillä ainoa asia, jota tällaiseen toimintaan tarvitaan, on pääsy blogi- ja datapalvelimiin, jotka Scattered Spiderin jäsenellä on saattanut olla", Bohuslavskiy sanoo.

"Hack the Hacker" -operaatiot, joiden tarkoituksena on lähettää viesti

"Tämä lainvalvontaviranomaisten toiminta lähettää erittäin vahvan viestin ALPHV:n tytäryhtiöille ja muille uhkatekijöille", Charles Carmakal, Mandiantin Google Cloudin konsulttiteknologiajohtaja, selitti Dark Readingille sähköpostitse lähetetyssä kommentissa. "Jotkut ALPHV:n tytäryhtiöistä ovat kuitenkin edelleen aktiivisia, mukaan lukien UNC3944 (Scattered Spider). Odotamme joidenkin tytäryhtiöiden jatkavan tunkeutumistaan ​​normaalisti, mutta he todennäköisesti yrittävät luoda suhteita muihin ransomware-as-a-service (RaaS) -ohjelmiin salausta, kiristystä ja uhrien häpeämistä varten.

DoJ viittaa tämäntyyppisiin kyberturvallisuuden lainvalvontatoimia "hakkeri hakkeri" -operaatioina, ja Michael McPhersonin, entisen FBI:n erikoisagentin, tällä hetkellä ReliaQuestilla, mukaan niiden on tarkoitus lähettää tietoverkkorikollisille kaikkialla, että he voisivat olla seuraava.

"Häiriön toivottu vaikutus on se, että rikolliset katsovat olkapäänsä yli", McPherson sanoo. "Ovatko he seuraavat? Ovatko lainvalvontaviranomaiset jo soluttautuneet heihin?”

Tavoitteena on myös heikentää kyberrikollisryhmien kannattavuutta. McPherson lisäsi, että lainvalvontajärjestöt hyväksyvät sen, ettei ehkä ole realistista odottaa a poistaminen, jotta kehittyneet tietoverkkorikollisuusrenkaat voidaan purkaa kokonaan kuten BlackCat. Näillä hienostuneilla "hakkeri hakkeri" -poistoilla he haluavat ainakin hidastaa niitä ja nostaa tietoverkkorikosten tekemisen kustannuksia.

BlackCatin kaltaisen ryhmän onnistunut hajoaminen viestii myös sekä nykyisille että mahdollisille uhreille, että kun kiristysohjelma rikkoo heidät, on olemassa varteenotettava vaihtoehtoja kiristyksen maksamiselle, McPherson sanoo.

"500 uhrin auttaminen salauksenpurkutyökalulla tässä tapauksessa näyttää toivottavasti organisaatioille, että yhteistyö lainvalvontaviranomaisten kanssa on paljon parempi vaihtoehto kuin maksaa rikollisille", hän selittää. "Tästä huolimatta kiristysohjelmat ovat edelleen erittäin tuottoisia, eivätkä estä rikollisia yrittämästä onneaan, ennen kuin riski-tuottodynamiikka muuttuu."

BlackCat's Ransomware Future Bleak

Jos historia on osoitus, Bohuslavskiy epäilee, että ALPHV/BlackCat-operaatio pystyy toipumaan tästä poistosta millä tahansa mielekkäällä tavalla.

"Aiempien lainvalvontaviranomaisten tapausten perusteella järjestäytyneet rikollisryhmät eivät toivu kriittisen infrastruktuurin osumasta, kuten blogin poistamisesta, koska tämä johtaa niiden eksistentiaaliseen epäonnistumiseen", hän selittää. "Blogissa on kaikkea salausavaimista varmennettuihin viestintävälineisiin ryhmän jäsenten välillä." Bohuslavskiy ennustaa, että ALPHV:n johto vetäytyy kiristyshaittaohjelmasta FBI:n häiriön jälkeen.

”AlphV:llä oli hyvin pieni joukko huippuluokan kynätestaajia. He ovat ansainneet tarpeeksi rahaa jäädäkseen nyt eläkkeelle, ja hyvin harvalla on rikollisryhmiä, joilla on tarpeeksi maine houkutellakseen ihmisiä, joilla on tällaisia ​​taitoja – nimittäin ex-Conti-kollektiivit, kuten BlackSuit tai BlackBasta”, hän selittää. "Koska heillä ei ole minne mennä (LockBit pidetään erittäin huonona hallituksena, jossa on epävakaa järjestelmänvalvoja ja koominen tukiryhmä; Hive purettiin, eikä pienemmillä ryhmillä ole tarpeeksi rahaa maksaakseen tämän tason pentestaajia), heidän looginen tiensä on jäädä eläkkeelle."

FBI toivoi saavuttavansa BlackCat/ALPHV-operaation avulla eläkkeelle jäämisen helpommaksi kuin jatkamisen." Juuri tästä syystä LEA on tehokas – se asettaa ryhmän väsymyksen lopettamiseen asti", Bohuslavskiy lisää. "Ja koska kiristyshaittaohjelmien alueella on hyvin vähän osaavia ihmisiä, heidän lopettaessaan kiristyshaittaohjelmien ekosysteemi heikkenee."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cybersecurity-operations/feds-snarl-alphv-blackcat-ransomware-operation