Вымогательская группировка BlackCat (ALPHV) заявила, что правоохранительные органы захватили ее сайт и инфраструктуру. Однако партнеры группы и ИБ-специалисты считают, что это exit scam, то есть хакеры попросту пытаются скрыться с деньгами, а правоохранители не имеют никакого отношения к происходящему.
В конце прошлой недели ИБ-специалисты заметили, что BlackCat отключила свои серверы (прекратил работу блог группы, а также сайты для переговоров с жертвами), а партнеры группировки обвинили создателей BlackCat в хищении 22 млн долларов. Тогда статус хакеров в Tox гласил, что «все выключено» и решается, но потом сменился на другой статус — «GG».
При этом 1 марта 2024 года специалист компании Recorded Future Дмитрий Смилянец поделился интересным скриншотом: один из партнеров BlackCat под ником notchy утверждал, что это он стоит за недавней громкой атакой на компанию Optum. И якобы оператор платформы Change Healthcare недавно выплатил ему выкуп в размере 22 млн долларов США за расшифровку данных.
Стоит пояснить, что в группах, работающих по модели Ransomware-as-a-service (RaaS, «Вымогатель-как-услуга»), есть внешние партнеры или аффилированные лица, которые осуществляют атаки с использованием предоставленных им шифровальщиков. Полученные от жертв выкупы в итоге делятся между создателями RaaS-платформы и их партнерами, которые осуществляют атаки, развертывают вымогательское ПО и похищают данные.
В данном случае notchy обвинил BlackCat в том, что после получения выкупа от Optum его обманули. Он пишет, что после получения денег, BlackCat заблокировала его партнерский аккаунт и забрала все средства из кошелька. Notchy заявляет, что у него на руках остались 4 ТБ «критически важных данных Optum», включая «производственную информацию, которая затрагивает всех клиентов Change Healthcare и Optum». По его словам, он располагает данными «десятков страховых компаний» и поставщиков широкого спектра услуг, связанных со здравоохранением, расчетно-кассовым обслуживанием, аптеками и так далее.
Напомним, что недавно взломанная Optum, это дочерняя компания UnitedHealth Group, которая глубоко интегрирована с системой здравоохранения США и работает с электронными медицинскими картами, обработкой платежей, анализом данных в больницах, клиниках и аптеках. Как мы уже сообщали ранее, атаку на Optum связывают с BlackCat.
В доказательство своих слов notchy приложил к сообщению криптовалютный адрес с девятью транзакциями: первоначальным входящим переводом в 350 биткоинов (около 23 млн долларов США) и восемью исходящими. Причем адрес, с которого пришли биткоины, содержит всего две транзакции: одна — получение 350 биткоинов, другая — отправка их на кошелек, связанный с BlackCat.
Когда СМИ связались с представителями UnitedHealth Group и спросили их о возможной выплате выкупа, в компании отказались от комментариев и заявили, что в настоящее время полностью «сосредоточены на расследовании».
Как теперь пишет издание Bleeping Computer, и предполагают ИБ-специалисты, происходящее очень похоже на exit scam, то есть, создатели BlackCat пытаются скрыться с деньгами.
Так, на одном из хак-форумов появилось заявление группировки, в котором сообщается, что BlackCat решила закрыть проект «из-за федералов», но при этом хакеры не предоставили никаких дополнительных объяснений.
Вместе с этим статус группировки в Tox сменился на объявление о продаже исходных кодов малвари на 5 млн долларов США.
Затем на сайте BlackCat о вовсе появилась «заглушка», сообщающая, что ресурс захвачен и конфискован ФБР, Минюстом США, Национальным агентством по борьбе с преступностью Великобритании (NCA) и так далее.
Однако, как отмечают журналисты и известный ИБ-специалист Фабиан Восар (Fabian Wosar), «заглушка» выглядит подозрительно и, судя по всему, является фальшивкой. Так, картинка находится в папке с именем «/THIS WEBSITE HAS BEEN SEIZED_files/». По словам Восара, хакеры просто установили Python SimpleHTTPServer для отображения на сайте старой фейковой «заглушки».
«Они просто сохранили уведомление со старого сайта для утечек и запустили Python HTTP-сервер, чтобы отображать его на новом сайте. Лентяи», — говорит Восар.
Также исследователь отметил, что его контакты в Европоле и NCA сообщают, что власти не имеют никакого отношения к новому захвату сайта BlackCat.
Дело в том, что в декабре 2023 года правоохранительные органы действительно скомпрометировали инфраструктуру BlackCat и даже выпустили инструмент для расшифровки данных. Судя по всему, картинку с уведомлением о конфискации ресурса хакеры взяли именно оттуда. Ведь тогда вымогательская группировка продолжила работу, пообещав нанести ответный удар по правительству США и атаковать критическую инфраструктуру страны.