Новости Хак-группа BlackCat отключила серверы после получения выкупа в размере 22 млн долларов

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.646
Репутация
11.595
Реакции
61.567
RUB
50
Вымогательская группировка BlackCat (ALPHV) заявила, что правоохранительные органы захватили ее сайт и инфраструктуру.


Однако партнеры группы и ИБ-специалисты считают, что это exit scam, то есть хакеры попросту пытаются скрыться с деньгами, а правоохранители не имеют никакого отношения к происходящему.

В конце прошлой недели ИБ-специалисты заметили, что BlackCat отключила свои серверы (прекратил работу блог группы, а также сайты для переговоров с жертвами), а партнеры группировки обвинили создателей BlackCat в хищении 22 млн долларов. Тогда статус хакеров в Tox гласил, что «все выключено» и решается, но потом сменился на другой статус — «GG».



При этом 1 марта 2024 года специалист компании Recorded Future Дмитрий Смилянец поделился : один из партнеров BlackCat под ником notchy утверждал, что это он стоит за недавней громкой атакой на компанию Optum. И якобы оператор платформы Change Healthcare недавно выплатил ему выкуп в размере 22 млн долларов США за расшифровку данных.



Стоит пояснить, что в группах, работающих по модели Ransomware-as-a-service (RaaS, «Вымогатель-как-услуга»), есть внешние партнеры или аффилированные лица, которые осуществляют атаки с использованием предоставленных им шифровальщиков. Полученные от жертв выкупы в итоге делятся между создателями RaaS-платформы и их партнерами, которые осуществляют атаки, развертывают вымогательское ПО и похищают данные.

В данном случае notchy обвинил BlackCat в том, что после получения выкупа от Optum его обманули. Он пишет, что после получения денег, BlackCat заблокировала его партнерский аккаунт и забрала все средства из кошелька. Notchy заявляет, что у него на руках остались 4 ТБ «критически важных данных Optum», включая «производственную информацию, которая затрагивает всех клиентов Change Healthcare и Optum». По его словам, он располагает данными «десятков страховых компаний» и поставщиков широкого спектра услуг, связанных со здравоохранением, расчетно-кассовым обслуживанием, аптеками и так далее.

Напомним, что недавно взломанная Optum, это дочерняя компания UnitedHealth Group, которая глубоко интегрирована с системой здравоохранения США и работает с электронными медицинскими картами, обработкой платежей, анализом данных в больницах, клиниках и аптеках. Как мы уже сообщали ранее, атаку на Optum с BlackCat.

В доказательство своих слов notchy приложил к сообщению с девятью транзакциями: первоначальным входящим переводом в 350 биткоинов (около 23 млн долларов США) и восемью исходящими. Причем адрес, с которого пришли биткоины, содержит всего две транзакции: одна — получение 350 биткоинов, другая — отправка их на кошелек, связанный с BlackCat.

Когда СМИ с представителями UnitedHealth Group и спросили их о возможной выплате выкупа, в компании отказались от комментариев и заявили, что в настоящее время полностью «сосредоточены на расследовании».

Как теперь пишет издание , и предполагают ИБ-специалисты, происходящее очень похоже на exit scam, то есть, создатели BlackCat пытаются скрыться с деньгами.

Так, на одном из хак-форумов группировки, в котором сообщается, что BlackCat решила закрыть проект «из-за федералов», но при этом хакеры не предоставили никаких дополнительных объяснений.



Вместе с этим статус группировки в Tox сменился на объявление о продаже исходных кодов малвари на 5 млн долларов США.



Затем на сайте BlackCat о вовсе появилась «заглушка», сообщающая, что ресурс захвачен и конфискован ФБР, Минюстом США, Национальным агентством по борьбе с преступностью Великобритании (NCA) и так далее.



Однако, как отмечают журналисты и известный ИБ-специалист Фабиан Восар (Fabian Wosar), «заглушка» выглядит подозрительно и, судя по всему, является фальшивкой. Так, картинка находится в папке с именем «/THIS WEBSITE HAS BEEN SEIZED_files/». По словам Восара, хакеры просто установили Python для отображения на сайте старой фейковой «заглушки».

«Они просто сохранили уведомление со старого сайта для утечек и запустили Python HTTP-сервер, чтобы отображать его на новом сайте. Лентяи», — говорит Восар.

Также исследователь отметил, что его контакты в Европоле и NCA , что власти не имеют никакого отношения к новому захвату сайта BlackCat.

Дело в том, что правоохранительные органы действительно скомпрометировали инфраструктуру BlackCat и даже выпустили инструмент для расшифровки данных. Судя по всему, картинку с уведомлением о конфискации ресурса хакеры взяли именно оттуда. Ведь тогда вымогательская группировка продолжила работу, пообещав нанести ответный удар по правительству США и атаковать критическую инфраструктуру страны.


 
Сверху Снизу