“黑貓”勒索軟件創(chuàng)始人卷款跑路,甩鍋FBI

BlackCat的數(shù)據(jù)泄漏網(wǎng)站還展示了一份FBI的扣押通知(題圖),看上去像是遭遇了執(zhí)法機(jī)構(gòu)的清剿,但諷刺的是,F(xiàn)BI、NCA和歐洲刑警組織都否認(rèn)參與此事。

640 (1).png

本文來(lái)自微信公眾號(hào)“GoUpSec”。

本周三,BlackCat/ALPHV(黑貓)勒索軟件組織創(chuàng)始人突然宣布解散并出售其勒索軟件源代碼。該團(tuán)伙在Tox上的狀態(tài)變?yōu)?GG"暗示操作結(jié)束,后來(lái)變?yōu)?ldquo;出售源代碼5kk”,表明他們想要以500萬(wàn)美元的價(jià)格出售其勒索軟件源代碼。

BlackCat的數(shù)據(jù)泄漏網(wǎng)站還展示了一份FBI的扣押通知(題圖),看上去像是遭遇了執(zhí)法機(jī)構(gòu)的清剿,但諷刺的是,F(xiàn)BI、NCA和歐洲刑警組織都否認(rèn)參與此事。

卷款跑路

根據(jù)安全人員的調(diào)查,BlackCat勒索軟件的突然關(guān)閉并非遭遇執(zhí)法行動(dòng),而是一次典型的“卷款跑路”。

不久前,BlackCat的加盟成員攻擊了美國(guó)醫(yī)療巨頭Change Healthcare,導(dǎo)致其全美醫(yī)院和藥房的處方藥配送中斷近兩周,并索要2200萬(wàn)美元的天價(jià)贖金。Change Healthcare很可能支付了該筆贖金,并導(dǎo)致BlackCat經(jīng)營(yíng)者“卷款跑路”。

3月1日,安全研究人員發(fā)現(xiàn)BlackCat的一個(gè)贖金加密貨幣地址收到了一筆價(jià)值約2200萬(wàn)美元的單筆交易。3月3日,BlackCat的一個(gè)加盟成員“Notchy”在俄語(yǔ)勒索軟件論壇Ramp投訴稱(chēng)Change Healthcare支付了2200萬(wàn)美元的勒索金換取解密鑰匙,并防止4TB被盜數(shù)據(jù)被公開(kāi)泄漏。

該加盟成員聲稱(chēng)BlackCat團(tuán)隊(duì)收取了2200萬(wàn)美元的贖金后不但未向其支付傭金(BlackCat加盟成員的傭金分成比例高達(dá)60-90%),還將其賬戶凍結(jié),BlackCat的管理員則聲稱(chēng)是由于系統(tǒng)遭受了FBI的突襲。

640 (1).png

黑貓勒索軟件數(shù)據(jù)泄漏站點(diǎn)上的假FBI通知來(lái)源:bleepingcomputer

“在收到贖金支付后,BlackCat團(tuán)隊(duì)決定暫停我們的賬戶,并在我們聯(lián)系BlackCat管理員時(shí)繼續(xù)撒謊和拖延,”附屬成員“Notchy”寫(xiě)道:“不幸的是,(已經(jīng)支付贖金的)Change Healthcare的數(shù)據(jù)仍然在我們手里。”

Emsisoft的勒索軟件研究負(fù)責(zé)人FabianWosar表示,諸多跡象表明BlackCat領(lǐng)導(dǎo)人是想“卷款跑路”。“ALPHV/BlackCat沒(méi)有被查封,”Wosar在X上發(fā)帖指出:“他們是卷款跑路,當(dāng)你檢查BlackCat網(wǎng)站上更新的FBI扣押通知的源代碼時(shí),這顯而易見(jiàn)。”

贖金暴雷

為了證明Change Healthcare已經(jīng)支付贖金,Notchy成員分享了一個(gè)加密貨幣支付地址,該地址記錄了350個(gè)比特幣(約2300萬(wàn)美元)的單筆交易,日期為3月2日。

在獲得該贖金后,BlackCat運(yùn)營(yíng)者將比特幣分發(fā)到各個(gè)錢(qián)包中,每筆交易大約330萬(wàn)美元。

值得注意的是,雖然接收地址現(xiàn)在為空,但它顯示累計(jì)收到并發(fā)送了接近9400萬(wàn)美元。

截至發(fā)稿,Change Healthcare既未確認(rèn)也未否認(rèn)支付,假設(shè)Change Healthcare確實(shí)支付了贖金了以防止數(shù)據(jù)被公開(kāi)泄漏,目前的結(jié)果可謂血本無(wú)歸。

Recorded Future的研究員Dmitry Smilyanets指出,BlackCat卷款跑路尤其危險(xiǎn),因?yàn)椋▽?shí)施攻擊)的加盟成員仍然擁有所有被盜數(shù)據(jù),并且可能要求受害者額外支付贖金以防止泄露信息。

更糟糕的是,投訴BlackHat的Notchy聲稱(chēng),他們還從Change Healthcare合作伙伴那里偷到了大量敏感數(shù)據(jù),受害者名單中包括Medicare和一系列其他主要的保險(xiǎn)和藥房網(wǎng)絡(luò)。

從積極的角度來(lái)看,Change Healthcare雖然遭遇了“贖金暴雷”,但也直接導(dǎo)致了BlackCat管理者“卷款跑路”,徹底終結(jié)了這個(gè)勒索軟件組織,并沉重打擊了RaaS勒索軟件模式在網(wǎng)絡(luò)犯罪分子中的可信度。

值得注意的是,Change Healthcare這樣的醫(yī)療機(jī)構(gòu)本不在BlackCat的攻擊范圍中。

BlackCat在2023年12月底曾被FBI滲透,執(zhí)法機(jī)構(gòu)扣押了BlackCat網(wǎng)站并發(fā)布了一個(gè)解密工具,以幫助受害者恢復(fù)系統(tǒng)。

隨后,BlackCat很快重新組建并將加盟成員傭金提高到最多90%。BlackCat還宣布正式取消對(duì)針對(duì)醫(yī)院和醫(yī)療服務(wù)提供者的任何攻擊限制或勸阻,這直接導(dǎo)致Change Healthcare遭受了BlackCat加盟成員的攻擊。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論

本月熱門(mén)