Федеральное бюро расследований США (ФБР) сообщило сегодня, что внедрилось во вторую по численности в мире банду вымогателей, базирующуюся в России преступную группировку, известную как ALPHV и BlackCat. ФБР заявило, что захватило веб-сайт банды в даркнете и выпустило инструмент для расшифровки, который сотни компаний-жертв могут использовать для восстановления систем. Тем временем BlackCat ответила кратким “отключением” своего сайта в даркнете сообщением, обещающим 90-процентные комиссионные аффилированным лицам, которые продолжают работать с преступной группой, и открывает сезон для всего, от больниц до атомных электростанций.
Немного измененная версия уведомления ФБР о конфискации на сайте BlackCat darknet (добавлены Santa caps).
Слухи о возможных действиях правоохранительных органов против BlackCat появились в первую неделю декабря, после того, как сайт группы вымогателей в даркнете отключился и оставался недоступным примерно пять дней. BlackCat в конце концов удалось вернуть свой сайт в оперативный режим, обвинив в отключении неисправности оборудования.
Но ранее сегодня веб-сайт BlackCat был заменен уведомлением ФБР о наложении ареста, в то время как федеральные прокуроры Флориды выпустили ордер на обыск, объясняющий, как агенты ФБР смогли получить доступ к операциям группы и сорвать их.
В заявлении об операции от Министерства юстиции США говорится, что ФБР разработало инструмент дешифрования, который позволил отделениям агентства на местах и партнерам по всему миру предложить более чем 500 пострадавшим жертвам возможность восстановить свои системы.
“Благодаря инструменту дешифрования, предоставленному ФБР сотням жертв программы-вымогателя по всему миру, предприятия и школы смогли вновь открыться, а службы здравоохранения и неотложной помощи смогли вернуться в ОНЛАЙН”, - сказала заместитель генерального прокурора Лиза О. Монако. “Мы будем продолжать уделять приоритетное внимание сбоям и ставить жертв в центр нашей стратегии по разрушению экосистемы, подпитывающей киберпреступность”.
Министерство юстиции сообщает, что с момента образования BlackCat примерно 18 месяцев назад преступная группировка атаковала компьютерные сети более 1000 организаций-жертв. Атаки BlackCat обычно включают шифрование и кражу данных; если жертвы отказываются платить выкуп, злоумышленники обычно публикуют украденные данные на сайте darknet, связанном с BlackCat.
BlackCat была создана путем найма операторов из нескольких конкурирующих или расформированных организаций—вымогателей, включая REvil, BlackMatter и DarkSide. Последняя группа была ответственна за атаку на трубопровод Colonial в мае 2021 года, которая вызвала нехватку топлива по всей стране и скачки цен.
Как и многие другие операции с программами-вымогателями, BlackCat работает по модели “программа-вымогатель как услуга", при которой команды разработчиков поддерживают и обновляют код программы-вымогателя, а также всю ее вспомогательную инфраструктуру. У аффилированных лиц есть стимул атаковать высокоценные цели, потому что они обычно получают 60-80 процентов любых выплат, а остальное достается мошенникам, осуществляющим операции с программой-вымогателем.
Сегодня BlackCat удалось ненадолго восстановить контроль над своим сервером darknet. Вскоре после того, как появилось уведомление ФБР о конфискации, домашняя страница была “отключена” и дополнена заявлением об инциденте с точки зрения группы вымогателей.
Сообщение, которое ненадолго появилось на домашней странице группы программ-вымогателей BlackCat сегодня утром. Изображение: @GossiTheDog.
BlackCat заявила, что операция ФБР затронула только часть ее операций, и что в результате действий ФБР еще 3000 жертв больше не будут иметь возможности получать ключи дешифрования. Группа также заявила, что официально снимает любые ограничения или не поощряет атаки на больницы или другую критически важную инфраструктуру.
“Из-за их действий мы вводим новые правила, или, скорее, мы удаляем ВСЕ правила, кроме одного " вам нельзя трогать СНГ " [распространенное ограничение против атакующих организаций в России или Содружестве Независимых Государств]. Теперь вы можете блокировать больницы, атомные электростанции, что угодно и где угодно.”
Преступная группа также заявила, что устанавливает комиссионные партнерам на уровне 90 процентов, предположительно, чтобы привлечь интерес потенциальных партнеров, которые в противном случае могли бы быть напуганы недавним проникновением ФБР. BlackCat также пообещала, что все “рекламодатели” в рамках этой новой схемы будут управлять своими партнерскими учетными записями из центров обработки данных, которые полностью изолированы друг от друга.
На сайте BlackCat в даркнете в настоящее время отображается уведомление ФБР о конфискации. Но, как основатель BleepingComputer Лоуренс Абрамс объяснил на Mastodon, и у ФБР, и у BlackCat есть закрытые ключи, связанные с URL-адресом скрытого сервиса Tor для сайта BlackCat по позору жертв и утечке данных.
“Тот, кто последним опубликует скрытый сервис в Tor (в данном случае сайт утечки данных BlackCat), возобновит контроль над URL”, - сказал Абрамс. “Ожидайте увидеть подобные перебои в работе в течение следующих нескольких дней”.
Министерство юстиции сообщает, что любой, у кого есть информация о филиалах BlackCat или их деятельности, может иметь право на вознаграждение в размере до 10 миллионов долларов в рамках программы Государственного департамента “Награды за справедливость”, которая принимает заявки через справочную линию на основе Tor (посещение сайта возможно только с помощью браузера Tor).
Читать далее: CISA предупреждает о StopRansomware об инструментах, методах и процедурах, используемых ALPHV / BlackCat.
(c) https://krebsonsecurity.com/2023/12/blackcat-ransomware-raises-ante-after-fbi-disruption/
Немного измененная версия уведомления ФБР о конфискации на сайте BlackCat darknet (добавлены Santa caps).
Слухи о возможных действиях правоохранительных органов против BlackCat появились в первую неделю декабря, после того, как сайт группы вымогателей в даркнете отключился и оставался недоступным примерно пять дней. BlackCat в конце концов удалось вернуть свой сайт в оперативный режим, обвинив в отключении неисправности оборудования.
Но ранее сегодня веб-сайт BlackCat был заменен уведомлением ФБР о наложении ареста, в то время как федеральные прокуроры Флориды выпустили ордер на обыск, объясняющий, как агенты ФБР смогли получить доступ к операциям группы и сорвать их.
В заявлении об операции от Министерства юстиции США говорится, что ФБР разработало инструмент дешифрования, который позволил отделениям агентства на местах и партнерам по всему миру предложить более чем 500 пострадавшим жертвам возможность восстановить свои системы.
“Благодаря инструменту дешифрования, предоставленному ФБР сотням жертв программы-вымогателя по всему миру, предприятия и школы смогли вновь открыться, а службы здравоохранения и неотложной помощи смогли вернуться в ОНЛАЙН”, - сказала заместитель генерального прокурора Лиза О. Монако. “Мы будем продолжать уделять приоритетное внимание сбоям и ставить жертв в центр нашей стратегии по разрушению экосистемы, подпитывающей киберпреступность”.
Министерство юстиции сообщает, что с момента образования BlackCat примерно 18 месяцев назад преступная группировка атаковала компьютерные сети более 1000 организаций-жертв. Атаки BlackCat обычно включают шифрование и кражу данных; если жертвы отказываются платить выкуп, злоумышленники обычно публикуют украденные данные на сайте darknet, связанном с BlackCat.
BlackCat была создана путем найма операторов из нескольких конкурирующих или расформированных организаций—вымогателей, включая REvil, BlackMatter и DarkSide. Последняя группа была ответственна за атаку на трубопровод Colonial в мае 2021 года, которая вызвала нехватку топлива по всей стране и скачки цен.
Как и многие другие операции с программами-вымогателями, BlackCat работает по модели “программа-вымогатель как услуга", при которой команды разработчиков поддерживают и обновляют код программы-вымогателя, а также всю ее вспомогательную инфраструктуру. У аффилированных лиц есть стимул атаковать высокоценные цели, потому что они обычно получают 60-80 процентов любых выплат, а остальное достается мошенникам, осуществляющим операции с программой-вымогателем.
Сегодня BlackCat удалось ненадолго восстановить контроль над своим сервером darknet. Вскоре после того, как появилось уведомление ФБР о конфискации, домашняя страница была “отключена” и дополнена заявлением об инциденте с точки зрения группы вымогателей.
Сообщение, которое ненадолго появилось на домашней странице группы программ-вымогателей BlackCat сегодня утром. Изображение: @GossiTheDog.
BlackCat заявила, что операция ФБР затронула только часть ее операций, и что в результате действий ФБР еще 3000 жертв больше не будут иметь возможности получать ключи дешифрования. Группа также заявила, что официально снимает любые ограничения или не поощряет атаки на больницы или другую критически важную инфраструктуру.
“Из-за их действий мы вводим новые правила, или, скорее, мы удаляем ВСЕ правила, кроме одного " вам нельзя трогать СНГ " [распространенное ограничение против атакующих организаций в России или Содружестве Независимых Государств]. Теперь вы можете блокировать больницы, атомные электростанции, что угодно и где угодно.”
Преступная группа также заявила, что устанавливает комиссионные партнерам на уровне 90 процентов, предположительно, чтобы привлечь интерес потенциальных партнеров, которые в противном случае могли бы быть напуганы недавним проникновением ФБР. BlackCat также пообещала, что все “рекламодатели” в рамках этой новой схемы будут управлять своими партнерскими учетными записями из центров обработки данных, которые полностью изолированы друг от друга.
На сайте BlackCat в даркнете в настоящее время отображается уведомление ФБР о конфискации. Но, как основатель BleepingComputer Лоуренс Абрамс объяснил на Mastodon, и у ФБР, и у BlackCat есть закрытые ключи, связанные с URL-адресом скрытого сервиса Tor для сайта BlackCat по позору жертв и утечке данных.
“Тот, кто последним опубликует скрытый сервис в Tor (в данном случае сайт утечки данных BlackCat), возобновит контроль над URL”, - сказал Абрамс. “Ожидайте увидеть подобные перебои в работе в течение следующих нескольких дней”.
Министерство юстиции сообщает, что любой, у кого есть информация о филиалах BlackCat или их деятельности, может иметь право на вознаграждение в размере до 10 миллионов долларов в рамках программы Государственного департамента “Награды за справедливость”, которая принимает заявки через справочную линию на основе Tor (посещение сайта возможно только с помощью браузера Tor).
Читать далее: CISA предупреждает о StopRansomware об инструментах, методах и процедурах, используемых ALPHV / BlackCat.
(c) https://krebsonsecurity.com/2023/12/blackcat-ransomware-raises-ante-after-fbi-disruption/
