Το Υπουργείο Δικαιοσύνης των ΗΠΑ ανακοίνωσε ότι το FBI παραβίασε τους διακομιστές της επιχείρησης ransomware ALPHV/ BlackCat για να παρακολουθήσει τις δραστηριότητες των hackers και να αποκτήσει κλειδιά αποκρυπτογράφησης για τα θύματα.

Πριν από περίπου δύο εβδομάδες, οι ιστότοποι ALPHV, συμπεριλαμβανομένων των sites διαπραγμάτευσης Tor και των sites διαρροής δεδομένων βρέθηκαν εκτός σύνδεσης. Ενώ ο διαχειριστής του ALPHV ισχυρίστηκε ότι ήταν ζήτημα hosting, το BleepingComputer είχε μάθει ότι η διακοπή σχετιζόταν με μια επιχείρηση επιβολής του νόμου.

Σύμφωνα με τη νέα ανακοίνωση του Υπουργείου Δικαιοσύνης, όντως το FBI κατάφερε να αποκτήσει πρόσβαση στην υποδομή του ALPHV ransomware.

Με αυτήν την πρόσβαση, παρακολούθησε σιωπηλά τη λειτουργία ransomware για μήνες και συγκέντρωσε κλειδιά αποκρυπτογράφησης. Αυτά τα κλειδιά αποκρυπτογράφησης επέτρεψαν στο FBI να βοηθήσει 500 θύματα να ανακτήσουν τα αρχεία τους δωρεάν.

Δείτε επίσης: ALPHV/BlackCat: Το δεύτερο πιο “δημοφιλές” ransomware

Επιπλέον, το FBI έχει κατασχέσει το domain για τον ιστότοπο διαρροής δεδομένων της συμμορίας, ο οποίος τώρα εμφανίζει ένα banner που αναφέρει ότι κατασχέθηκε από μια διεθνή επιχείρηση επιβολής του νόμου.

Το μήνυμα κατάσχεσης αναφέρει ότι η επιχείρηση κατά του BlackCat ransomware διεξήχθη από αστυνομικές και ερευνητικές υπηρεσίες από τις ΗΠΑ, την Europol, τη Δανία, τη Γερμανία, το Ηνωμένο Βασίλειο, την Ολλανδία, τη Γερμανία, την Αυστραλία, την Ισπανία και την Αυστρία.

Τρίτη παραβίαση από τις αρχές επιβολής του νόμου

Αυτή η λειτουργία ransomware έχει λειτουργήσει με πολλά ονόματα όλα αυτά τα χρόνια και οι αρχές επιβολής του νόμου διακόπτουν κάθε φορά τις δραστηριότητες των hackers.

Η ομάδα ξεκίνησε αρχικά ως DarkSide τον Αύγουστο του 2020 και σταμάτησε τον Μάιο του 2021, μετά από έντονη πίεση από τις επιχειρήσεις επιβολής του νόμου που προκλήθηκαν από την επίθεση της συμμορίας στην Colonial Pipeline.

Η λειτουργία ransomware αργότερα επέστρεψε ως BlackMatter στις 31 Ιουλίου, αλλά, για άλλη μια φορά, έκλεισε τον Νοέμβριο του 2021, αφού η Emsisoft εκμεταλλεύτηκε μια αδυναμία για να δημιουργήσει ένα εργαλείο αποκρυπτογράφησης για τα θύματα. Οι διακομιστές κατασχέθηκαν.

Η ransomware συμμορία επέστρεψε ξανά τον Νοέμβριο του 2021, αυτή τη φορά με το όνομα BlackCat/ALPHV. Έκτοτε, εξελίσσει συνεχώς τις τακτικές εκβιασμού της.

Δείτε επίσης: LockBit: Στρατολογεί affiliates από τα BlackCat/ALPHV και NoEscape ransomware

Ωστόσο, τον περασμένο χρόνο, η συμμορία ransomware είχε γίνει όλο και πιο επιθετική και “προκλητική” (π.χ. δημοσιεύοντας γυμνές φωτογραφίες που έβρισκε σε κλεμμένα δεδομένα κλπ) και τράβηξε περισσότερο την προσοχή των αρχών επιβολής του νόμου.

Και το νέο χτύπημα από το FBI, όμως, δεν σημαίνει ότι θα είναι το τέλος της ομάδας. Η ιστορία της έχει δείξει ότι μπορεί να εμφανιστεί ξανά με ένα νέο όνομα.

Η BlackCat “απελευθερώνει” τον ιστότοπο διαρροής δεδομένων

Το απόγευμα της Τρίτης, η επιχείρηση ransomware “απελευθέρωσε” το site διαρροής δεδομένων για να ανακτήσει τον έλεγχο του URL και ισχυρίστηκε ότι το FBI απέκτησε πρόσβαση σε ένα κέντρο δεδομένων που χρησιμοποιούσαν για τη φιλοξενία διακομιστών.

Καθώς τόσο οι χειριστές του ALPHV/BlackCat ransomware όσο και το FBI ελέγχουν τώρα τα ιδιωτικά κλειδιά που χρησιμοποιούνται για την καταχώριση του onion URL του ιστότοπου διαρροής δεδομένων στο Tor, μπορούν να πηγαίνουν πέρα ​​δώθε, αφαιρώντας τη διεύθυνση URL ο ένας από τον άλλον, κάτι που γινόταν όλη την ημέρα.

Η συμμορία ανακοίνωσε την κυκλοφορία μιας νέας διεύθυνσης URL Tor για τον ιστότοπο διαρροής δεδομένων, για το οποίο το FBI δεν έχει τα ιδιωτικά κλειδιά και επομένως δεν μπορεί να καταλάβει.

Η συμμορία ransomware ισχυρίστηκε ότι το FBI απέκτησε πρόσβαση σε κλειδιά αποκρυπτογράφησης μόνο τον τελευταίο ενάμιση μήνα, δηλαδή για περίπου 400 εταιρείες. Ωστόσο, είπαν ότι άλλα 3.000 θύματα θα χάσουν τώρα τα κλειδιά τους.

Δείτε επίσης: HTC Global Services: Το ALPHV/BlackCat ransomware πίσω από την επίθεση;

Οι hackers είπαν, επίσης, ότι καταργούν όλους τους περιορισμούς που είχαν προηγουμένως θέσει στους affiliates, επιτρέποντάς τους να στοχεύουν οποιονδήποτε οργανισμό επιθυμούν, συμπεριλαμβανομένων των κρίσιμων υποδομών. Ο μόνος περιορισμός θα είναι οι επιθέσεις σε χώρες της Κοινοπολιτείας Ανεξάρτητων Κρατών (CIS), οι οποίες προηγουμένως ήταν μέρος της Σοβιετικής Ένωσης.

Τέλος, η λειτουργία ransomware αύξησε το μερίδιο εσόδων των affiliates στο 90% των πληρωμένων λύτρων, πιθανότατα για να τους πείσει να παραμείνουν στην ransomware-as-service επιχείρηση.

Παρά το γεγονός ότι οι hackers δεν το βάζουν κάτω και προσπαθούν να επιστρέψουν, η παραβίαση από το FBI ήταν πολύ σημαντική. Η επιχείρηση αυτή έχει σημαντική επίδραση στην κυβερνοασφάλεια, καθώς αποτελεί ένα σημαντικό βήμα προς την καταπολέμηση του ransomware, ενός από τα πιο επιβλαβή και επικίνδυνα είδη κυβερνοεγκλημάτων.

Με την επιτυχή διακοπή της λειτουργίας του ransomware, το FBI δείχνει ότι οι κυβερνοεγκληματίες δεν μπορούν να λειτουργήσουν χωρίς τιμωρία. Αυτό μπορεί να έχει αποτρεπτική επίδραση σε άλλους πιθανούς εγκληματίες, ενώ ταυτόχρονα αυξάνει την εμπιστοσύνη του κοινού στις ικανότητες των αρχών κυβερνοασφάλειας.

Επιπλέον, η επιχείρηση αυτή παρέχει πολύτιμες πληροφορίες για τον τρόπο λειτουργίας των ransomware, που μπορούν να χρησιμοποιηθούν για την ανάπτυξη πιο αποτελεσματικών μεθόδων προστασίας και αντίδρασης.

Τέλος, η επιτυχία της επιχείρησης αυτής μπορεί να ενθαρρύνει την περαιτέρω συνεργασία και συντονισμό μεταξύ διαφόρων οργανισμών κυβερνοασφάλειας σε εθνικό και διεθνές επίπεδο, προωθώντας έτσι την κοινή προσπάθεια καταπολέμησης του κυβερνοεγκλήματος.

Πηγή: www.bleepingcomputer.com