“黑猫”勒索软件创始人卷款跑路,甩锅FBI

安全侠2024-03-08 18:12:41


本周三,BlackCat/ALPHV(黑猫)勒索软件组织创始人突然宣布解散并出售其勒索软件源代码。该团伙在Tox上的状态变为"GG"暗示操作结束,后来变为“出售源代码5kk”,表明他们想要以500万美元的价格出售其勒索软件源代码。


BlackCat的数据泄漏网站还展示了一份FBI的扣押通知(题图),看上去像是遭遇了执法机构的清剿,但讽刺的是,FBI、NCA和欧洲刑警组织都否认参与此事。


卷款跑路


根据安全人员的调查,BlackCat勒索软件的突然关闭并非遭遇执法行动,而是一次典型的“卷款跑路”。


不久前,BlackCat的加盟成员攻击了美国医疗巨头Change Healthcare,导致其全美医院和药房的处方药配送中断近两周,并索要2200万美元的天价赎金。Change Healthcare很可能支付了该笔赎金,并导致BlackCat经营者“卷款跑路”。


3月1日,安全研究人员发现BlackCat的一个赎金加密货币地址收到了一笔价值约2200万美元的单笔交易。3月3日,BlackCat的一个加盟成员“Notchy”在俄语勒索软件论坛Ramp投诉称Change Healthcare支付了2200万美元的勒索金换取解密钥匙,并防止4TB被盗数据被公开泄漏。


该加盟成员声称BlackCat团队收取了2200万美元的赎金后不但未向其支付佣金(BlackCat加盟成员的佣金分成比例高达60-90%),还将其账户冻结,BlackCat的管理员则声称是由于系统遭受了FBI的突袭。



黑猫勒索软件数据泄漏站点上的假FBI通知来源:bleepingcomputer


“在收到赎金支付后,BlackCat团队决定暂停我们的账户,并在我们联系BlackCat管理员时继续撒谎和拖延,”附属成员“Notchy”写道:“不幸的是,(已经支付赎金的)Change Healthcare的数据仍然在我们手里。”


Emsisoft的勒索软件研究负责人FabianWosar表示,诸多迹象表明BlackCat领导人是想“卷款跑路”。“ALPHV/BlackCat没有被查封,”Wosar在X上发帖指出:“他们是卷款跑路,当你检查BlackCat网站上更新的FBI扣押通知的源代码时,这显而易见。”


赎金暴雷


为了证明Change Healthcare已经支付赎金,Notchy成员分享了一个加密货币支付地址,该地址记录了350个比特币(约2300万美元)的单笔交易,日期为3月2日。


在获得该赎金后,BlackCat运营者将比特币分发到各个钱包中,每笔交易大约330万美元。


值得注意的是,虽然接收地址现在为空,但它显示累计收到并发送了接近9400万美元。


截至发稿,Change Healthcare既未确认也未否认支付,假设Change Healthcare确实支付了赎金了以防止数据被公开泄漏,目前的结果可谓血本无归。


Recorded Future的研究员Dmitry Smilyanets指出,BlackCat卷款跑路尤其危险,因为(实施攻击)的加盟成员仍然拥有所有被盗数据,并且可能要求受害者额外支付赎金以防止泄露信息。


更糟糕的是,投诉BlackHat的Notchy声称,他们还从Change Healthcare合作伙伴那里偷到了大量敏感数据,受害者名单中包括Medicare和一系列其他主要的保险和药房网络。


从积极的角度来看,Change Healthcare虽然遭遇了“赎金暴雷”,但也直接导致了BlackCat管理者“卷款跑路”,彻底终结了这个勒索软件组织,并沉重打击了RaaS勒索软件模式在网络犯罪分子中的可信度。


值得注意的是,Change Healthcare这样的医疗机构本不在BlackCat的攻击范围中。


BlackCat在2023年12月底曾被FBI渗透,执法机构扣押了BlackCat网站并发布了一个解密工具,以帮助受害者恢复系统。


随后,BlackCat很快重新组建并将加盟成员佣金提高到最多90%。BlackCat还宣布正式取消对针对医院和医疗服务提供者的任何攻击限制或劝阻,这直接导致Change Healthcare遭受了BlackCat加盟成员的攻击。

勒索联邦调查局
本作品采用《CC 协议》,转载必须注明作者和本文链接
在最近的一次事件中,人们发现KillDisk勒索软件的新变种对Linux机器进行了加密,从而使它们在数据永久丢失的情况下无法启动。KillDisk勒索软件的Linux版本不会将加密密钥存储在磁盘或命令和控制服务器上的任何位置。好消息是,ESET的研究人员发现Linux变体使用的加密存在一个弱点,这使得恢复加密文件成为可能,尽管很困难。
联邦调查局 透露,古巴勒索软件团伙已经破坏了来自美国关键基础设施部门的至少49个组织的网络。相反,这会促使勒索软件针对更多受害者进行操作,并激励其他网络犯罪团体加入他们进行类似的非法活动。然而,联邦机构承认勒索软件攻击可能对企业造成损害,因为高管可能被迫考虑支付赎金以保护股东、客户或员工。联邦调查局强烈敦促向当地联邦调查局外地办事处报告此类事件。
FBI位于佛州坦帕的办事处负责“蜂窝”案件据报道,“蜂窝”在2021年7月首次进入FBI的监视范围。出于安全考虑,该受害组织的名字至今一直未公开。由于这是“蜂窝”在美国境内发生的第一起已知攻击,根据FBI的程序规定,距离受害者最近的FBI坦帕办事处将承担未来所有相关的“蜂窝”案件。今年6月,美国司法部公布了对一名俄罗斯公民的起诉书,该人被指控作为“蜂窝”的“会员”工作。这彻底改变了“蜂窝”一案。
联邦调查局 (FBI) 发布了与 Hive 勒索软件团伙活动相关的快速警报。
当地时间6月1日,由联邦调查局(FBI)、网络安全和基础设施安全局(CISA),财政部(Treasury)和金融犯罪执法网络(FinCEN)联合发布了网络安全咨询公告(CSA),披露了有关Karakurt数据勒索组织(也称为Karakurt组织和Karakurt Lair)的信息。该攻击组织采用了各种策略、技术和程序(TTP),给网络安全防御和缓解带来了重大挑战。四家机构还提供了一些建议的行动来减
在调查一家医疗保健组织遭受的数据泄露事件时,联邦调查局意外透露,它认为 HelloKitty 勒索软件团伙在乌克兰境外开展活动。
联邦调查局已向食品和农业部门的公司发出新的警报警告,随着公司攻击面的扩大,它们面临越来越多的勒索软件风险。
FBI于9月1日发布了关于ProLock勒索软件窃取数据的20200901-001私人行业通知。当时,美联储警告说,ProLock的解密器无法正常工作,使用它可能会彻底破坏数据。目前尚不清楚ProLock勒索软件是由Qakbot团伙管理的,还是ProLock运营商花钱访问感染了Qakbot的主机,以传递他们的恶意软件。威胁参与者使用了 Rclone 云存储同步命令行工具。FBI建议勒索软件攻击的受害者避免支付赎金以解密其文件并立即向当局报告攻击。
此次攻击的主要特征之一是使用了大量的定制的渗出工具,这些工具被称为StealBit,由LockBit集团授权给其附属机构。根据美国司法部11月的一份报告,LockBit勒索软件已经在全球范围内对至少1000名受害者进行攻击,为该组织获得了超过1亿美元的非法收入。
网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 警告美国人不要在这个假期休息一下网络安全。
安全侠
暂无描述