Οι διαχειριστές του ransomware ALPHV/BlackCat έκλεισαν τους servers τους εν μέσω ισχυρισμών ότι εξαπάτησαν τον affiliate που ήταν υπεύθυνος για το Optum hack and the έκλεψαν τα 22 εκατομμύρια δολάρια, που λέγεται ότι είχε δώσει η Optum σαν λύτρα.
Σύμφωνα με το BleepingComputer, οι ιστότοποι διαπραγμάτευσης του ransomware είναι, επίσης, εκτός σύνδεσης, κάτι που δείχνει μια σκόπιμη κατάργηση της infrastructure της συμμορίας.
Ένα status στην πλατφόρμα ανταλλαγής μηνυμάτων, που χρησιμοποιεί η ομάδα για contact, αναφέρει ότι αποφάσισαν να απενεργοποιήσουν τα πάντα.
Δεν είναι σαφές εάν πρόκειται για exit scam ή για προσπάθεια μετονομασίας της ransomware επιχείρησης. Η πλατφόρμα ανταλλαγής μηνυμάτων Tox που χρησιμοποιήθηκε από τον χειριστή ransomware BlackCat περιείχε ένα μήνυμα που έλεγε: “Все выключено, решаем“, που μεταφράζεται σε “Όλα είναι απενεργοποιημένα, εμείς αποφασίζουμε“.
See also: Blackcat ransomware: targets healthcare centres
Ωστόσο, κάποιος που παρουσιάζεται ως μακροχρόνιος συνεργάτης της ransomware συμμορίας ALPHV/BlackCat και ήταν υπεύθυνος για την attack at Optum, είπε ότι η συμμορία του έκλεψε λύτρα 22 εκατομμυρίων δολαρίων, που φέρεται να πλήρωσε η Optum για την επίθεση στην πλατφόρμα Change Healthcare.
Το Change Healthcare είναι μια πλατφόρμα ανταλλαγής πληρωμών που συνδέει γιατρούς, φαρμακεία, παρόχους υγειονομικής περίθαλψης και ασθενείς στο σύστημα health care of the USA.
Ο Dmitry Smilyanets of the company Recorded Future μοιράστηκε το μήνυμα από τον υποτιθέμενο affiliate του ransomware, ο οποίο ισχυρίστηκε ότι η Optum πλήρωσε τα λύτρα στην ALPHV/BlackCat την 1η Μαρτίου.
Οι Ransomware συμμορίες συνεργάζονται συχνά με άλλους hackers, οι οποίοι πραγματοποιούν επιθέσεις χρησιμοποιώντας τους κρυπτογραφητές της επιχείρησης. Τα ransom που λαμβάνονται από τα θύματα μοιράζονται μεταξύ των διαχειριστών του ransomware και τoυ συνεργάτη που είναι υπεύθυνος για την παραβίαση.
Σε αυτήν την περίπτωση, ο affiliate που παραβίασε και έκλεψε data από την Change Healthcare της Optum, λέει ότι εξαπατήθηκε από τους διαχειριστές του ALPHV/BlackCat ransomware. Ισχυρίζεται ότι αφού η Optum κατέβαλε λύτρα 22 εκατομμυρίων δολαρίων, οι διαχειριστές του ransomware ALPHV/BlackCat ανέστειλαν τον λογαριασμό του και πήραν όλα τα χρήματα από το πορτοφόλι.
See also: ALPHV/Blackcat ransomware: $10 million reward for information about its leaders
Ωστόσο, ο affiliate λέει ότι έχει ακόμα στην κατοχή του 4 TB “κρίσιμων δεδομένων” της Optum.
Για να αποδείξει τον ισχυρισμό του, ο affiliate, με το ψευδώνυμο Notchy, μοιράστηκε μια διεύθυνση πληρωμής crypto με συνολικά εννέα συναλλαγές, μια αρχική εισερχόμενη μεταφορά 350 bitcoin (λίγο πάνω από 23 εκατομμύρια δολάρια) και οκτώ εξερχόμενες.
Η διεύθυνση αποστολής bitcoin έχει μόνο δύο συναλλαγές: η μία λαμβάνει 350 bitcoin και η άλλη τα στέλνει στο υποτιθέμενο πορτοφόλι ALPHV.
Το BleepingComputer λέει ότι επικοινώνησε με τη μητρική εταιρεία της Optum, UnitedHealth Group, σχετικά με τις αξιώσεις για την πληρωμή των λύτρων. Η απάντηση της εταιρείας ήταν: “Είμαστε επικεντρωμένοι στην έρευνα” και ότι δεν υπάρχουν επιπλέον σχόλια.
Αν και δεν είναι σαφές ποια κατεύθυνση ακολουθεί η ransomware συμμορία BlackCat, αυτή η δραστηριότητα θα μπορούσε να υποδηλώνει την έναρξη ενός exit scam, όπου οι επιχειρήσεις ransomware κλέβουν τα crypto των affiliate τους και στη συνέχεια σταματούν τις δραστηριότητές τους.
Μένει να δούμε πώς θα συνεχίσει η ομάδα και αν θα εμφανιστεί ξανά με διαφορετικό όνομα. Ας μην ξεχνάμε ότι στο παρελθόν είχε ξεκινήσει ως DarkSide. Αργότερα μετονομάστηκε σε BlackMatter και κατέληξε σε BlackCat/ ALPHV. Πάντως η προσωρινή διακοπή λειτουργίας είναι θετική από άποψη κυβερνοασφάλειας.
See also: FBI: The ALPHV/BlackCat ransomware gang has earned over $ 300 million in recent months
Initially, θα μειωθούν οι επιθέσεις καθώς αποσύρεται μια από τις πιο παραγωγικές και επικίνδυνες συμμορίες.
Έπειτα, η αποκάλυψη της απάτης της ALPHV/BlackCat μπορεί να αποθαρρύνει άλλους εγκληματίες από τη συμμετοχή σε παρόμοιες activities, καθώς δείχνει ότι ακόμη και μεταξύ των κυβερνοεγκληματιών, υπάρχουν η απάτη και η απληστία.
Η διακοπή λειτουργίας της ALPHV/BlackCat μπορεί να ενθαρρύνει τις εταιρείες να επενδύσουν περισσότερο στην cybersecurity, καθώς αποδεικνύει ότι η απειλή του κυβερνοεγκλήματος είναι πραγματική και μπορεί να έχει σοβαρές οικονομικές συνέπειες.
Ωστόσο, το κενό που θα δημιουργηθεί στην αγορά του κυβερνοεγκλήματος, μπορεί να προσπαθήσουν να το γεμίσουν άλλες ομάδες εγκληματιών. Οπότε πρέπει να είμαστε πάντα σε επιφυλακή!
Source : www.bleepingcomputer.com
