最近几天,多名网络犯罪研究员表示,ALPHV(又名BlackCat)谈判和数据泄露站点昨天突然变得不可用 ,并且今天(12月11)继续保持关闭状态。
与此同时,ALPHV管理员的Tox状态标记为“修复”,
事发后,多名网络犯罪研究员和网络安全媒体尝试联系ALPHV管理员确认情况,ALPHV管理员表示其托管提供商存在问题,正在迁移至其他数据中心。。。
外媒DataBreaches在qTox上与AlphV管理员进行了以下交流,其中管理员表示执法行动的说法是“假的”。当被问及什么是假的时,他们回答说:“我们的数据中心刚刚掉了光盘,我们正在搬到另一个数据中心。”
专注暗网的威胁情报公司RedSense通过人力情报(HUMINT)独立确认ALPHV网站被关闭是执法部门的行动。
在过去两天里,我们与一些威胁行为体进行了交流和讨论。可以确认,包括BlackCat的附属组织和初始访问即今日在内的威胁行为体都深信此次关闭是由执法部门的行动所导致的。具体来说,与AlphV有直接关系(甚至通过集体伙伴关系有附属关系)的顶级勒索软件组织的其他领导层,特别是Royal/BlackSuit、BlackBasta、LockBit和Akira的管理员和团队负责人,也确认了这一点。在我与威胁行为体的接触中,AlphV的管理员没有提供一个连贯的解释,尽管这可能与管理员因担心声誉而否认执法部门的行动有关。
评论:
1.本次执法行动疑似是因为ALPHV/BlackCat勒索软件团伙的附属机构(affiliates)Scattered Spider导致。
Scattered Spider(又名UNC3944)是BlackCat/ALPHV勒索软件组织的附属机构,其成员主要分布在美国和英国,其中一些年龄仅为19岁。一位自称为Scattered Spider成员的人表示,该组织成员不超过10人,大多是朋友,并且从11岁起就开始参与黑客活动。
“成为一个基于俄罗斯的勒索软件组织是一回事,但在美国境内设立实质上是该国的分支机构又是另一回事。此外,Scattered Spider似乎对MGM遭袭事件的处理方式不满。然而,附属机构在发生重大攻击后发生激烈争斗并不罕见。比如,DarkSide和Colonial Pipeline、REvil和Kaseya、Royal和HIVE也有一场相当恶劣的争斗。”
2.是否是美国FBI入侵了ALPHV的服务器?
2022年7月,FBI曾秘密入侵了Hive勒索软件团伙的基础设施
美国司法部和Europol宣布,一项国际执法行动已于2022年7月秘密渗透了Hive勒索软件团伙的基础设施,并秘密监控了该组织6个月。
司法部表示:“自2022年7月下旬以来,FBI已渗透 Hive 的计算机网络,获取其解密密钥,并向全球受害者提供,避免受害者支付1.3亿美元的赎金。”
“自2022年7月渗透 Hive 网络以来,FBI已向遭到攻击的 Hive 受害者提供了300多个解密密钥。此外,FBI还向之前的 Hive 受害者分发了1000多个额外解密密钥。”
根据一份逮捕令申请显示,FBI获得了加利福尼亚州一家托管服务商的两台专用服务器和一台虚拟专用服务器的访问权限,这些服务器是使用属于 Hive 成员的电子邮件地址租赁的。
在协调行动中,荷兰警方还获得了两台托管在荷兰的备用专用服务器的访问权限。
利用这些访问权限,执法部门确认这些服务器充当了该组织的主要数据泄露站点、谈判站点和运营商和附属机构使用的 Web 面板。
逮捕令中写道:“除了解密密钥之外,当 FBI 检查目标服务器 2 上的数据库时,FBI 还发现了 Hive 的通信记录、恶意软件文件哈希值、有关 Hive 250个附属机构的信息以及之前获取的受害者信息。”
历史总是惊人的相似!是执法行动?还是数据中心故障?时间会证明一切。
往期精选
围观
热文
热文