O BlackCat – groźnym ransomware atakującym serwery pocztowe – pisaliśmy na Hacku już w czerwcu. Obecnie poznajemy jego nową odsłonę. Grupa odpowiadająca za ataki BlackCat, znana również jako Alphv, podjęła działania w odpowiedzi na ogłoszoną niedawno operację organów ścigania. „Białe kapelusze” przejęły witryny internetowe i udostępniły narzędzia deszyfrujące.
7 grudnia oparta na Tor witryna z wyciekami BlackCat stała się niedostępna, co wywołało spekulacje, że cyberprzestępcza operacja mogła być celem organów ścigania.
Chociaż hakerzy początkowo opisali problem jako wynik awarii sprzętu, rząd USA potwierdził we wtorek 19 grudnia, że za przejęcie paru stron internetowych używanych przez BlackCat odpowiedzialne były organy ścigania wspierane przez „kilku sojuszników”.
Departament Sprawiedliwości stwierdził, że grupa zajmująca się oprogramowaniem ransomware zaatakowała ponad 1000 podmiotów, ale dzięki ostatnim wysiłkom Departamentu udało się stworzyć narzędzie deszyfrujące, które może pomóc ponad 500 ofiarom przywrócić systemy bez płacenia okupu.
Po tym, jak „wysiłki zakłócające” wyszły na jaw i opublikowano obraz zapowiadający przejęcie głównej witryny internetowej BlackCat, hakerzy najwyraźniej odzyskali nad nią kontrolę, publikując wiadomość, że strona została „odebrana”.
Cyberprzestępcy ogłosili utworzenie nowej witryny internetowej zawierającej wycieki, która obecnie wyświetla nazwy sześciu rzekomych ofiar. Ponadto zamieścili wiadomość w języku rosyjskim, w której opisali kroki, jakie podejmują w odwecie.
Grupa stwierdziła, że jedynie kraje WNP, w tym Rosja i niektórzy jej sąsiedzi, nie będą dotknięte działaniami odwetowymi, a podmioty stowarzyszone mogą atakować dowolne organizacje w dowolnym innym kraju, w tym elektrownie jądrowe i szpitale. Grupa obiecała wcześniej, że nie będzie atakować szpitali i służb ratunkowych. Cyberprzestępcy próbowali również bagatelizować wpływ operacji organów ścigania, twierdząc, że uzyskano jedynie klucze odszyfrowujące z ostatniego półtora miesiąca, z których może korzystać około 400 firm, ale dodając, że ponad 3000 innych ofiar nigdy nie będzie mogło odzyskać plików. Ponadto przestaną oferować ofiarom jakiekolwiek zniżki od kwoty okupu.
Warto może w tym miejscu przypomnieć, że BlackCat opisywaliśmy już w 2021 roku w grudniu. Pokusiliśmy się wówczas o dogłębną analizę opartą na publikacjach południowokoreańskiej firmy zajmującej się cyberbezpieczeństwem – S2W.
Obecnie kolejne autorytety spekulują o rozwoju sytuacji. Allan Liska, ekspert ds. oprogramowania ransomware z Recorded Future, podkreślił, że hakerzy tak naprawdę nie „odzyskali” ich witryny internetowej. Zamiast tego posiadają klucz podpisu, który umożliwia im przypisanie adresu .onion do nowego serwera. Wydaje się, że zarówno cyberprzestępcy, jak i FBI mają klucz i w ciągu ostatnich 24 godzin na zmianę kontrolowali to, co jest wyświetlane w domenie używanej wcześniej przez BlackCat do eksponowania ofiar.
Hakerzy twierdzą, że na podstawie informacji upublicznionych przez Departament Sprawiedliwości władze uzyskały dostęp tylko do jednego z ich centrów danych, włamując się do dostawcy usług hostingowych lub prosząc go o pomoc.
Z nakazu wynika, że śledczy uzyskali – z pomocą informatora, który aplikował na stanowisko partnera BlackCat – dane uwierzytelniające dające im dostęp do paneli używanych przez podmioty stowarzyszone i programistów do komunikacji i zarządzania atakami.
W ramach operacji organy ścigania uzyskały 946 par kluczy publiczny/prywatny Tor, zapewniających im dostęp do witryn komunikacyjnych ofiar, witryn hostujących skradzione dane ofiar i paneli stowarzyszonych.
Wiadomość o dostępie organów ścigania do paneli afiliacyjnych może zniechęcić wielu partnerów BlackCat. Aby zapobiec exodusowi, cyberprzestępcy ogłosili, że podmioty stowarzyszone będą mogły zatrzymać 90% otrzymanego okupu, przy czym podmiotom stowarzyszonym „VIP” zostanie zaoferowany prywatny program w oddzielnych, izolowanych centrach danych.
„Oczekujemy, że niektóre podmioty stowarzyszone będą kontynuować swoje włamania w normalny sposób, ale prawdopodobnie będą próbować nawiązać relacje z innymi programami RaaS w celu zapewnienia wsparcia w zakresie szyfrowania, wyłudzeń i zawstydzania ofiar” – powiedział Charles Carmakal, dyrektor ds. technologii Mandiant Consulting w Google Cloud.
Ekspert ds. bezpieczeństwa Will Thomas uważa również, że podmioty stowarzyszone przejdą na LockBit i inne operacje polegające na oprogramowaniu ransomware jako usłudze i przewiduje, że BlackCat prawdopodobnie zrobi sobie przerwę i zmieni nazwę.
Rzeczywiście, LockBit zaprosił nawet twórców oprogramowania ransomware BlackCat do współpracy nad kodem źródłowym.
Rząd USA oferuje nagrody o wartości do 10 milionów dolarów za informacje o operatorach BlackCat lub ich podmiotach stowarzyszonych.