פעולת כופר של Feds Snarl ALPHV/BlackCat

לאחר כמעט שבועיים של ספקולציות, משרד המשפטים האמריקני טען קרדיט על הסרת אתרי הדלפות ALPHV/BlackCat והסתננות לרשת של קבוצת תוכנות הכופר.

מומחים משערים שזה יכול להיות כיסוי עבור קבוצת תוכנות הכופר בדיוק בזמן לחגים - שולחים את ההנהגה שלה לפרישה ואת השותפים שלה כדי לנסות למצוא מפעיל חדש.

גם ה-FBI מציע מפענח בחינם שפיתחה כדי לעזור ליותר מ-500 קורבנות ALPHV/BlackCat שזיהתה לשחזר את המערכות שלהם.

על פי צו האף-בי-איי לחיפוש ברכוש BlackCat, שנבטל היום יחד עם הודעת משרד המשפטים על ההסרה, כוחות אכיפת החוק הצליחו לחדור אל פעולת BlackCat בעזרת מקור אנושי סודי שהגיש בקשה עם הקבוצה להפוך לשותף. המודיע קיבל אישורים ללוח המחוונים של קבוצת תוכנות הכופר המשמש לניהול הפרות, דרישות סחיטה ותשלומים, מה שנותן לאכיפת החוק דרך להיכנס לפעולה, נכתב בצו.

האם עכביש מפוזר ויתר על BlackCat?

רק לפני שבועות, ה-FBI קיבל ביקורת על כך שלא פעל מהר יותר כדי לעצור את החצוף עכביש מפוזר קְבוּצָה. אבל יכול להיות שהשוטרים עבדו בזווית אחרת.

Yelisy Bohuslavskiy, קצינת מחקר ראשית ב-RedSense, הייתה בין הראשונות שאישרה בפומבי שההפסקות של מערכת BlackCat היו תוצאה של מאמצי אכיפת החוק, עוד ב-8 בדצמבר. הוא אומר ל-Dark Reading שפטפוט מערכת אקולוגית של תוכנות כופר מצביע על היותה חברים ב- עכביש מפוזר שעבד מבפנים עם ה-FBI.

"זה נשמע משכנע, מכיוון שהדבר היחיד שצריך לפעולה כזו הוא גישה לשרתי בלוגים ונתונים שייתכן שהיה לחבר ב-Cattered Spider", אומר בוהוסלאבסקי.

"Hack the Hacker" אופס התכוון לשלוח הודעה

"פעולה זו של רשויות אכיפת החוק שולחת מסר חזק מאוד לסניפי ALPHV וגורמי איומים אחרים", הסביר צ'ארלס קרמקאל, CTO היועץ של Mandiant עבור Google Cloud, ל-Dark Reading בהערה שנשלחה בדוא"ל. "עם זאת, חלק מהשותפים של ALPHV עדיין פעילים, כולל UNC3944 (עכביש מפוזר). אנו מצפים שחלק מסונפות ימשיכו את הפריצות שלהן כרגיל, אך סביר להניח שהם ינסו ליצור קשרים עם תוכנות כופר-כשירות (RaaS) אחרות לצורך הצפנה, סחיטה ותמיכה בשיימינג לקורבנות".

DoJ מתייחס לסוגים אלה של פעולות אכיפת חוק אבטחת סייבר כפעולות "האק את ההאקר", ולפי מייקל מקפירסון, סוכן מיוחד של ה-FBI לשעבר ב-ReliaQuest, הם נועדו לשלוח את המסר לפושעי סייבר בכל מקום שהם יכולים להיות הבאים.

"האפקט הרצוי של שיבוש הוא להשאיר את הפושעים מסתכלים מעבר לכתף", אומר מקפירסון. "האם הם הבאים? האם הם כבר הסתננו על ידי רשויות החוק?"

יש גם מטרה לערער את הרווחיות של כנופיות פשעי סייבר. מקפירסון הוסיף כי ארגוני אכיפת החוק מקבלים את זה שאולי לא מציאותי לצפות א הסרה כדי לפרק לחלוטין טבעות פשעי סייבר מתוחכמות כמו BlackCat. באמצעות ההסרות המתוחכמות הללו של "האק את ההאקר" הם מקווים לפחות להאט אותם ולהעלות את העלות של ביצוע פשעי סייבר.

שיבוש מוצלח של קבוצה כמו BlackCat מאותתת גם לקורבנות הנוכחיים וגם לקורבנות הפוטנציאליים שכאשר הם נפרצים על ידי תוכנת כופר, יש חלופות ברות קיימא לתשלום הסחיטה, אומר מקפירסון.

"עזרה ל-500 קורבנות עם כלי פענוח במקרה זה תראה לארגונים ששיתוף פעולה עם גורמי אכיפת החוק הוא אפשרות טובה בהרבה מאשר לשלם לפושעים", הוא מסביר. "עם זאת, תוכנות הכופר נשארות רווחיות ביותר והיא לא תעצור פושעים לנסות את מזלם עד שהדינמיקה של סיכון-תגמול תשתנה."

Future Future BlackCat של BlackCat

אם ההיסטוריה היא אינדיקטור כלשהו, ​​בוהוסלבסקי מפוקפק שפעולת ALPHV/BlackCat תוכל להתאושש מההסרה הזו בכל דרך משמעותית.

"בהתבסס על המקרים הקודמים של רשויות אכיפת החוק, קבוצות פשע מאורגן לא מתאוששות מפגיעת תשתית קריטית כמו הסרת בלוג, מכיוון שהדבר מוביל לכישלון הקיומי שלהן", הוא מסביר. "בבלוג יש הכל, ממפתחות הצפנה, ועד לאמצעי תקשורת מאומתים בין חברי הקבוצה." בוהוסלבסקי צופה שהנהגת ALPHV תפרוש ממשחק תוכנת הכופר לאחר השיבוש של ה-FBI.

"ל-AlphV היה צוות קטן מאוד של בודקי עטים מהשורה הראשונה. הם הרוויחו מספיק כסף כדי לפרוש עכשיו, ויש מעט מאוד קולקטיבים של פשע שיש להם מספיק מוניטין כדי למשוך אנשים עם כישורים כאלה - כלומר קולקטיבים לשעבר של Conti כמו BlackSuit או BlackBasta," הוא מסביר. "מכיוון שלא יהיה להם לאן ללכת (LockBit נתפס כממשלה גרועה ביותר שהוקמה עם מנהל לא יציב וצוות תמיכה קומי; כוורת פורק, ולקבוצות קטנות יותר לא יהיה מספיק כסף לשלם לאנשי החודר מהרמה הזו), הדרך ההגיונית שלהן היא לפרוש".

הקלה על פרישה מאשר המשך פעולת הכופר היא בדיוק מה שה-FBI קיווה להשיג עם פעולת BlackCat/ALPHV. "זו בדיוק הסיבה ש-LEA יעילה - היא מנשקת את העייפות של הקבוצה עד כדי פרישה", מוסיף בוהוסלבסקי. "ובגלל שיש מעט מאוד אנשים בעלי יכולת בדומיין של תוכנת הכופר, כשהם עוזבים, המערכת האקולוגית של תוכנת הכופר מתדרדרת."

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cybersecurity-operations/feds-snarl-alphv-blackcat-ransomware-operation