Nekoliko agencija za provođenje zakona koje su uključene u uklanjanje jedne od najplodnijih ransomware grupa negiralo je umiješanost u novo obavještenje objavljeno na sajtu za curenje podataka bande – dodajući težinu glasinama stručnjaka i kibernetičkih kriminalaca da grupa pokušava izvršiti razrađenu izlaznu strategiju.
Ministarstvo pravde SAD-a (DOJ), Europol i britanska Nacionalna agencija za kriminal (NCA) bili su u velikoj mjeri uključeni u decembarsko uklanjanje infrastrukture koju koristi ransomware banda Black Cat/AlphV – odgovorna za prošlogodišnje napade koji su osakatili najveći hotel u Las Vegasu i multimilijarderskog igrača u industriji nekretnina.
Banda je obnovila dio svoje infrastrukture gotovo odmah nakon uklanjanja, ali je šepala tri mjeseca dok je pokušavala da povrati povjerenje kriminalnih filijala i partnera. Činilo se da je AlphV oživio neke od svojih kriminalnih bonafidesa razornim napadom na Change Healthcare prošlog mjeseca koji je postao jedna od najvećih kriza s kojima se američka zdravstvena industrija suočila ove godine.
Ali znakovi sada pokazuju da vođe bande na Change Healthcare gledaju kao na svoj posljednji veliki posao.
Grupa je u petak isključila svoj blog, a u ponedjeljak je podružnica grupe objavila ljutitu poruku na forumu kibernetičkih kriminalaca u kojoj se žalila da im je ukradena otkupnina dobivena od Change Healthcare – navodno vrijedna 22 miliona dolara. Wired je objavio da podaci o blokčejnu pokazuju da je 350 bitcoina poslano na adresu povezanu sa AlphV-om 1. marta.
Change Healthcare je odbio potvrditi da li je platio otkupninu, samo je za Recorded Future News rekao da je “fokusiran na istragu”.
Recorded Future stručnjak za sajber bezbjednost Dmitrij Smiljanec podijelio je poruku koju je filijala objavila na forumu o kibernetičkom kriminalu RAMP u kojoj se tvrdi da su nakon uplate od 22 miliona dolara, čelnici AlphV-a ugasili svoj račun i efektivno ukrali cjelokupnu otkupninu. Povezane kompanije su istakle da još uvijek imaju 4 TB podataka koje su ukrali iz Change Healthcare-a.
Nakon što je uzela 22 miliona dolara, banda je naizgled objavila novo obavještenje o uklanjanju na svom sajtu curenja, što je učinilo da izgleda kao da su agencije za provođenje zakona ponovo uklonile njihovu infrastrukturu.
DOJ, Europol i NCA su negirali bilo kakvu umiješanost u novo obavještenje o uklanjanju u komentarima za Recorded Future News. FBI je odbio da komentariše.
Stručnjak za kibernetičku sigurnost Fabian Wosar pregledao je obavijest o uklanjanju i rekao da tehničke informacije pokazuju da je lažna i jednostavno kopirana iz operacije u decembru.
“ALPHV/BlackCat nije zaplijenjen. Oni pokušavaju da prevare svoje filijale. To je očigledno kada provjerite izvorni kod novog obavještenja o uklanjanju”, rekao je Wosar na nekoliko stranica društvenih medija.
U utorak su čelnici grupe otvoreno priznali da je čitava muka bila dio njihovog nastojanja da se operacija u potpunosti zatvori.
U poruci na istom RAMP forumu o sajber kriminalu, glasnogovornik grupe je rekao da “nema smisla tražiti izgovore” i rekao da su “odlučili da potpuno zatvore projekat”.
“Možemo službeno izjaviti da su nas federalci zeznuli. Izvorni kod će biti prodat, pregovori su već u toku o ovom pitanju”, napisali su.
Administrator na forumu za sajber kriminal zadužen za rješavanje spora između AlphV-a i podružnice objavio je naknadnu poruku kojom je službeno zatvorena stvar, napisavši “Ovo je izlazna prevara.”
Nova izlazna prevara
Nekoliko stručnjaka za ransomware reklo je da krađa od podružnica i izlazne prijevare nisu neuobičajene za vrstu kriminalnih organizacija koje vode operacije poput ovih. Recorded Future stručnjak za ransomware Allan Liska je primijetio da su druge istaknute grupe poput REvil-a uhvaćene u krađi otkupnina od fililjala.
U prošlosti su i druge grupe navodile da su međunarodne agencije za provođenje zakona ukidale napade kada su pokušavale da zatvore operaciju, ali više stručnjaka je reklo da je ovo prvi put da su vidjeli korištenje lažnog obavještenja o zapljeni.
“Činjenica da sajber kriminalci prevare druge sajber kriminalce nije iznenađujuća, a ovo nije prvi put da se to događa. Upotreba lažnog obavještenja o zaplijeni je, međutim, jedinstvena”, rekao je analitičar prijetnji Emsisofta Brett Callow.
“Osim ako pojedinci koji stoje iza AlphV-a ne odluče da je 22 miliona dolara dovoljno za odlazak u penziju, gotovo sigurno će se vratiti sa novim brendom,” dodao je.
Liska je ponovila tu procjenu, rekavši da je lažno obavještenje o zaplijeni novi zaokret u ransomware izlaznoj prevari.
Kada su upitani da li je propast grupe AlphV – uz sličnu javnu imploziju operacije LockBit ransomware – bio dokaz da su uklanjanja od strane organa za provođenje zakona imala pozitivan učinak, stručnjaci su bili više podijeljeni.
“Mislim da nam treba više vremena. Ali, mislim da je dobra stvar što je operater iza AlphV-a, koji to radi već duže vrijeme – zapamtite, on ima veze s Contijem – sveden na niskog prevaranta i, uprkos svoj njegovoj bravuri, [lider LockBit-a] izgleda da ima veoma javan mentalni slom (ne kažem to olako, mentalno zdravlje je ozbiljan problem)“, objasnila je Liska.
Callow je rekao da uspjeh poremećaja predvođenih provođenjem zakona “ne treba ocjenjivati na osnovu toga da li se vraćaju”.
„Oni su samo jedna tačka u višestrukoj strategiji i sami neće eliminisati ransomware,“ primetio je on.
Glavni lovac na prijetnje Trustwave-a Reegun Jayapaul, koji je pratio AlphV, rekao je da očekuju povratak grupe “pod novom maskom ili brendom nakon pauze”.
“Ova taktika im služi kao sredstvo da izvrše još jednu značajnu prevaru prije nego što se ponovo pojave s manje pažnje”, rekao je Jayapaul.
Izvor: The Record