Οι διαχειριστές του ransomware ALPHV/BlackCat έκλεισαν τους servers τους εν μέσω ισχυρισμών ότι εξαπάτησαν τον affiliate που ήταν υπεύθυνος για το Optum hack και του έκλεψαν τα 22 εκατομμύρια δολάρια, που λέγεται ότι είχε δώσει η Optum σαν λύτρα.

Σύμφωνα με το BleepingComputer, οι ιστότοποι διαπραγμάτευσης του ransomware είναι, επίσης, εκτός σύνδεσης, κάτι που δείχνει μια σκόπιμη κατάργηση της υποδομής της συμμορίας.

Ένα status στην πλατφόρμα ανταλλαγής μηνυμάτων, που χρησιμοποιεί η ομάδα για επικοινωνία, αναφέρει ότι αποφάσισαν να απενεργοποιήσουν τα πάντα.

Δεν είναι σαφές εάν πρόκειται για exit scam ή για προσπάθεια μετονομασίας της ransomware επιχείρησης. Η πλατφόρμα ανταλλαγής μηνυμάτων Tox που χρησιμοποιήθηκε από τον χειριστή ransomware BlackCat περιείχε ένα μήνυμα που έλεγε: “Все выключено, решаем“, που μεταφράζεται σε “Όλα είναι απενεργοποιημένα, εμείς αποφασίζουμε“.

Δείτε επίσης: Blackcat ransomware: Στοχεύει κέντρα υγειονομικής περίθαλψης

Ωστόσο, κάποιος που παρουσιάζεται ως μακροχρόνιος συνεργάτης της ransomware συμμορίας ALPHV/BlackCat και ήταν υπεύθυνος για την επίθεση στην Optum, είπε ότι η συμμορία του έκλεψε λύτρα 22 εκατομμυρίων δολαρίων, που φέρεται να πλήρωσε η Optum για την επίθεση στην πλατφόρμα Change Healthcare.

Το Change Healthcare είναι μια πλατφόρμα ανταλλαγής πληρωμών που συνδέει γιατρούς, φαρμακεία, παρόχους υγειονομικής περίθαλψης και ασθενείς στο σύστημα υγειονομικής περίθαλψης των ΗΠΑ.

Ο Dmitry Smilyanets της εταιρείας Recorded Future μοιράστηκε το μήνυμα από τον υποτιθέμενο affiliate του ransomware, ο οποίο ισχυρίστηκε ότι η Optum πλήρωσε τα λύτρα στην ALPHV/BlackCat την 1η Μαρτίου.

Οι Ransomware συμμορίες συνεργάζονται συχνά με άλλους hackers, οι οποίοι πραγματοποιούν επιθέσεις χρησιμοποιώντας τους κρυπτογραφητές της επιχείρησης. Τα λύτρα που λαμβάνονται από τα θύματα μοιράζονται μεταξύ των διαχειριστών του ransomware και τoυ συνεργάτη που είναι υπεύθυνος για την παραβίαση.

Σε αυτήν την περίπτωση, ο affiliate που παραβίασε και έκλεψε δεδομένα από την Change Healthcare της Optum, λέει ότι εξαπατήθηκε από τους διαχειριστές του ALPHV/BlackCat ransomware. Ισχυρίζεται ότι αφού η Optum κατέβαλε λύτρα 22 εκατομμυρίων δολαρίων, οι διαχειριστές του ransomware ALPHV/BlackCat ανέστειλαν τον λογαριασμό του και πήραν όλα τα χρήματα από το πορτοφόλι.

Δείτε επίσης: ALPHV/Blackcat ransomware: Αμοιβή $10 εκατ. για πληροφορίες σχετικά με τους αρχηγούς του

Ωστόσο, ο affiliate λέει ότι έχει ακόμα στην κατοχή του 4 TB “κρίσιμων δεδομένων” της Optum.

Για να αποδείξει τον ισχυρισμό του, ο affiliate, με το ψευδώνυμο Notchy, μοιράστηκε μια διεύθυνση πληρωμής crypto

με συνολικά εννέα συναλλαγές, μια αρχική εισερχόμενη μεταφορά 350 bitcoin (λίγο πάνω από 23 εκατομμύρια δολάρια) και οκτώ εξερχόμενες.

Η διεύθυνση αποστολής bitcoin έχει μόνο δύο συναλλαγές: η μία λαμβάνει 350 bitcoin και η άλλη τα στέλνει στο υποτιθέμενο πορτοφόλι ALPHV.

Το BleepingComputer λέει ότι επικοινώνησε με τη μητρική εταιρεία της Optum, UnitedHealth Group, σχετικά με τις αξιώσεις για την πληρωμή των λύτρων. Η απάντηση της εταιρείας ήταν: “Είμαστε επικεντρωμένοι στην έρευνα” και ότι δεν υπάρχουν επιπλέον σχόλια.

Αν και δεν είναι σαφές ποια κατεύθυνση ακολουθεί η ransomware συμμορία BlackCat, αυτή η δραστηριότητα θα μπορούσε να υποδηλώνει την έναρξη ενός exit scam, όπου οι επιχειρήσεις ransomware κλέβουν τα crypto των affiliate τους και στη συνέχεια σταματούν τις δραστηριότητές τους.

Μένει να δούμε πώς θα συνεχίσει η ομάδα και αν θα εμφανιστεί ξανά με διαφορετικό όνομα. Ας μην ξεχνάμε ότι στο παρελθόν είχε ξεκινήσει ως DarkSide. Αργότερα μετονομάστηκε σε BlackMatter και κατέληξε σε BlackCat/ ALPHV. Πάντως η προσωρινή διακοπή λειτουργίας είναι θετική από άποψη κυβερνοασφάλειας.

Δείτε επίσης: FBI: Η ransomware συμμορία ALPHV/BlackCat έχει κερδίσει πάνω από $ 300 εκατ. τους τελευταίους μήνες

Αρχικά, θα μειωθούν οι επιθέσεις καθώς αποσύρεται μια από τις πιο παραγωγικές και επικίνδυνες συμμορίες.

Έπειτα, η αποκάλυψη της απάτης της ALPHV/BlackCat μπορεί να αποθαρρύνει άλλους εγκληματίες από τη συμμετοχή σε παρόμοιες δραστηριότητες, καθώς δείχνει ότι ακόμη και μεταξύ των κυβερνοεγκληματιών, υπάρχουν η απάτη και η απληστία.

Η διακοπή λειτουργίας της ALPHV/BlackCat μπορεί να ενθαρρύνει τις εταιρείες να επενδύσουν περισσότερο στην κυβερνοασφάλεια, καθώς αποδεικνύει ότι η απειλή του κυβερνοεγκλήματος είναι πραγματική και μπορεί να έχει σοβαρές οικονομικές συνέπειες.

Ωστόσο, το κενό που θα δημιουργηθεί στην αγορά του κυβερνοεγκλήματος, μπορεί να προσπαθήσουν να το γεμίσουν άλλες ομάδες εγκληματιών. Οπότε πρέπει να είμαστε πάντα σε επιφυλακή!

Πηγή: www.bleepingcomputer.com