本文來自微信公眾號“GoUpSec”。
本周三,BlackCat/ALPHV(黑貓)勒索軟件組織創(chuàng)始人突然宣布解散并出售其勒索軟件源代碼。該團伙在Tox上的狀態(tài)變?yōu)?GG"暗示操作結(jié)束,后來變?yōu)?ldquo;出售源代碼5kk”,表明他們想要以500萬美元的價格出售其勒索軟件源代碼。
BlackCat的數(shù)據(jù)泄漏網(wǎng)站還展示了一份FBI的扣押通知(題圖),看上去像是遭遇了執(zhí)法機構(gòu)的清剿,但諷刺的是,F(xiàn)BI、NCA和歐洲刑警組織都否認參與此事。
卷款跑路
根據(jù)安全人員的調(diào)查,BlackCat勒索軟件的突然關(guān)閉并非遭遇執(zhí)法行動,而是一次典型的“卷款跑路”。
不久前,BlackCat的加盟成員攻擊了美國醫(yī)療巨頭Change Healthcare,導致其全美醫(yī)院和藥房的處方藥配送中斷近兩周,并索要2200萬美元的天價贖金。Change Healthcare很可能支付了該筆贖金,并導致BlackCat經(jīng)營者“卷款跑路”。
3月1日,安全研究人員發(fā)現(xiàn)BlackCat的一個贖金加密貨幣地址收到了一筆價值約2200萬美元的單筆交易。3月3日,BlackCat的一個加盟成員“Notchy”在俄語勒索軟件論壇Ramp投訴稱Change Healthcare支付了2200萬美元的勒索金換取解密鑰匙,并防止4TB被盜數(shù)據(jù)被公開泄漏。
該加盟成員聲稱BlackCat團隊收取了2200萬美元的贖金后不但未向其支付傭金(BlackCat加盟成員的傭金分成比例高達60-90%),還將其賬戶凍結(jié),BlackCat的管理員則聲稱是由于系統(tǒng)遭受了FBI的突襲。
黑貓勒索軟件數(shù)據(jù)泄漏站點上的假FBI通知來源:bleepingcomputer
“在收到贖金支付后,BlackCat團隊決定暫停我們的賬戶,并在我們聯(lián)系BlackCat管理員時繼續(xù)撒謊和拖延,”附屬成員“Notchy”寫道:“不幸的是,(已經(jīng)支付贖金的)Change Healthcare的數(shù)據(jù)仍然在我們手里。”
Emsisoft的勒索軟件研究負責人FabianWosar表示,諸多跡象表明BlackCat領(lǐng)導人是想“卷款跑路”。“ALPHV/BlackCat沒有被查封,”Wosar在X上發(fā)帖指出:“他們是卷款跑路,當你檢查BlackCat網(wǎng)站上更新的FBI扣押通知的源代碼時,這顯而易見。”
贖金暴雷
為了證明Change Healthcare已經(jīng)支付贖金,Notchy成員分享了一個加密貨幣支付地址,該地址記錄了350個比特幣(約2300萬美元)的單筆交易,日期為3月2日。
在獲得該贖金后,BlackCat運營者將比特幣分發(fā)到各個錢包中,每筆交易大約330萬美元。
值得注意的是,雖然接收地址現(xiàn)在為空,但它顯示累計收到并發(fā)送了接近9400萬美元。
截至發(fā)稿,Change Healthcare既未確認也未否認支付,假設Change Healthcare確實支付了贖金了以防止數(shù)據(jù)被公開泄漏,目前的結(jié)果可謂血本無歸。
Recorded Future的研究員Dmitry Smilyanets指出,BlackCat卷款跑路尤其危險,因為(實施攻擊)的加盟成員仍然擁有所有被盜數(shù)據(jù),并且可能要求受害者額外支付贖金以防止泄露信息。
更糟糕的是,投訴BlackHat的Notchy聲稱,他們還從Change Healthcare合作伙伴那里偷到了大量敏感數(shù)據(jù),受害者名單中包括Medicare和一系列其他主要的保險和藥房網(wǎng)絡。
從積極的角度來看,Change Healthcare雖然遭遇了“贖金暴雷”,但也直接導致了BlackCat管理者“卷款跑路”,徹底終結(jié)了這個勒索軟件組織,并沉重打擊了RaaS勒索軟件模式在網(wǎng)絡犯罪分子中的可信度。
值得注意的是,Change Healthcare這樣的醫(yī)療機構(gòu)本不在BlackCat的攻擊范圍中。
BlackCat在2023年12月底曾被FBI滲透,執(zhí)法機構(gòu)扣押了BlackCat網(wǎng)站并發(fā)布了一個解密工具,以幫助受害者恢復系統(tǒng)。
隨后,BlackCat很快重新組建并將加盟成員傭金提高到最多90%。BlackCat還宣布正式取消對針對醫(yī)院和醫(yī)療服務提供者的任何攻擊限制或勸阻,這直接導致Change Healthcare遭受了BlackCat加盟成員的攻擊。