Злоумышленники, стоящие за программой-вымогателем BlackCat, закрыли свой веб-сайт в даркнете и, вероятно, провернули мошенничество с выходом после загрузки поддельного баннера о конфискации правоохранительными органами.
"ALPHV / BlackCat не были изъяты. Они мошенничают со своими аффилированными лицами", - сказал исследователь безопасности Фабиан Восар. "Это совершенно очевидно, когда вы проверяете исходный код нового уведомления об удалении".
"Нет абсолютно никаких причин, по которым правоохранительные органы просто поместили бы сохраненную версию уведомления об изъятии во время изъятия вместо первоначального уведомления об изъятии".
Национальное агентство по борьбе с преступностью Великобритании (NCA) сообщило Reuters, что оно не имеет отношения к каким-либо сбоям в инфраструктуре BlackCat.
Записанный будущий исследователь безопасности Дмитрий Смилянец опубликовал скриншоты на платформе социальных сетей X, в которых участники BlackCat утверждали, что "федералы обманули нас" и что они намеревались продать исходный код программы-вымогателя за 5 миллионов долларов.
Исчезновение произошло после того, как она якобы получила выкуп в размере 22 миллионов долларов от подразделения UnitedHealth по изменению системы здравоохранения (Optum) и отказалась поделиться выручкой с аффилированным лицом, осуществившим атаку.
Компания не прокомментировала предполагаемую выплату выкупа, вместо этого заявив, что она сосредоточена только на расследовании и восстановительных аспектах инцидента.
Согласно взломам данных, недовольный партнер, чья учетная запись была заблокирована административным персоналом, выступил с обвинениями на форуме RAMP по киберпреступности. "Они опустошили кошелек и забрали все деньги", - сказали они.
Это вызвало предположения, что BlackCat инсценировала мошенничество с выходом, чтобы избежать проверки и вновь появиться в будущем под новым брендом. "Ожидается ребрендинг", - сказал теперь уже бывший администратор группы программ-вымогателей.
Правоохранительные органы захватили инфраструктуру BlackCat в декабре 2023 года, но банде электронных преступников удалось получить контроль над их серверами и возобновить свою деятельность без каких-либо серьезных последствий. Ранее группа действовала под псевдонимами DarkSide и BlackMatter.
"Внутри компании BlackCat могут беспокоиться о "кротах" внутри своей группы, и превентивное закрытие магазина может остановить удаление до того, как оно произойдет", - сказал Малахи Уокер, консультант по безопасности DomainTools.
"С другой стороны, эта афера с выходом может быть просто возможностью для BlackCat забрать наличные и сбежать. Поскольку криптовалюта снова достигла рекордно высокого уровня, банде может сойти с рук продажа своего продукта "по высокой цене". В мире киберпреступности репутация - это все, и BlackCat, похоже, этими действиями сжигает мосты со своими аффилированными лицами".
Очевидный крах группы и отказ от ее инфраструктуры произошли после того, как группа по исследованию вредоносных программ VX-Underground сообщила, что программа-вымогатель LockBit больше не поддерживает Lockbit Red (он же Lockbit 2.0) и StealBit, пользовательский инструмент, используемый злоумышленником для извлечения данных.
LockBit также пыталась сохранить лицо, перенеся часть своей деятельности на новый темный веб-портал после того, как скоординированная операция правоохранительных органов в прошлом месяце уничтожила его инфраструктуру после многомесячного расследования.
Также компания Trend Micro сообщила, что семейство программ-вымогателей, известное как RA World (ранее RA Group), успешно проникло в медицинские, финансовые и страховые компании в США, Германии, Индии, Тайване и других странах с момента появления в апреле 2023 года.
Атаки, организованные группой, "включают в себя многоступенчатые компоненты, предназначенные для обеспечения максимального воздействия и успеха в деятельности группы", отметила компания по кибербезопасности.
"ALPHV / BlackCat не были изъяты. Они мошенничают со своими аффилированными лицами", - сказал исследователь безопасности Фабиан Восар. "Это совершенно очевидно, когда вы проверяете исходный код нового уведомления об удалении".
"Нет абсолютно никаких причин, по которым правоохранительные органы просто поместили бы сохраненную версию уведомления об изъятии во время изъятия вместо первоначального уведомления об изъятии".
Национальное агентство по борьбе с преступностью Великобритании (NCA) сообщило Reuters, что оно не имеет отношения к каким-либо сбоям в инфраструктуре BlackCat.
Записанный будущий исследователь безопасности Дмитрий Смилянец опубликовал скриншоты на платформе социальных сетей X, в которых участники BlackCat утверждали, что "федералы обманули нас" и что они намеревались продать исходный код программы-вымогателя за 5 миллионов долларов.
Исчезновение произошло после того, как она якобы получила выкуп в размере 22 миллионов долларов от подразделения UnitedHealth по изменению системы здравоохранения (Optum) и отказалась поделиться выручкой с аффилированным лицом, осуществившим атаку.
Компания не прокомментировала предполагаемую выплату выкупа, вместо этого заявив, что она сосредоточена только на расследовании и восстановительных аспектах инцидента.
Согласно взломам данных, недовольный партнер, чья учетная запись была заблокирована административным персоналом, выступил с обвинениями на форуме RAMP по киберпреступности. "Они опустошили кошелек и забрали все деньги", - сказали они.
Это вызвало предположения, что BlackCat инсценировала мошенничество с выходом, чтобы избежать проверки и вновь появиться в будущем под новым брендом. "Ожидается ребрендинг", - сказал теперь уже бывший администратор группы программ-вымогателей.
Правоохранительные органы захватили инфраструктуру BlackCat в декабре 2023 года, но банде электронных преступников удалось получить контроль над их серверами и возобновить свою деятельность без каких-либо серьезных последствий. Ранее группа действовала под псевдонимами DarkSide и BlackMatter.
"Внутри компании BlackCat могут беспокоиться о "кротах" внутри своей группы, и превентивное закрытие магазина может остановить удаление до того, как оно произойдет", - сказал Малахи Уокер, консультант по безопасности DomainTools.
"С другой стороны, эта афера с выходом может быть просто возможностью для BlackCat забрать наличные и сбежать. Поскольку криптовалюта снова достигла рекордно высокого уровня, банде может сойти с рук продажа своего продукта "по высокой цене". В мире киберпреступности репутация - это все, и BlackCat, похоже, этими действиями сжигает мосты со своими аффилированными лицами".
Очевидный крах группы и отказ от ее инфраструктуры произошли после того, как группа по исследованию вредоносных программ VX-Underground сообщила, что программа-вымогатель LockBit больше не поддерживает Lockbit Red (он же Lockbit 2.0) и StealBit, пользовательский инструмент, используемый злоумышленником для извлечения данных.
LockBit также пыталась сохранить лицо, перенеся часть своей деятельности на новый темный веб-портал после того, как скоординированная операция правоохранительных органов в прошлом месяце уничтожила его инфраструктуру после многомесячного расследования.
Также компания Trend Micro сообщила, что семейство программ-вымогателей, известное как RA World (ранее RA Group), успешно проникло в медицинские, финансовые и страховые компании в США, Германии, Индии, Тайване и других странах с момента появления в апреле 2023 года.
Атаки, организованные группой, "включают в себя многоступенчатые компоненты, предназначенные для обеспечения максимального воздействия и успеха в деятельности группы", отметила компания по кибербезопасности.
