BlackCat/ALPHV勒索软件团伙是最为猖獗的勒索软件团伙之一,受害者超过1,000人,支付的赎金总额达数亿美元。它袭击了多个行业,包括医疗保健和国防工业基地公司等关键服务业。这个俄语勒索软件即服务组织也被称为BlackCat,首次出现于2021年底,并与DarkSide/Blackmatter和Revil等其他犯罪团伙有联系。美国司法部称该组织为“世界上第二多的勒索软件即服务变种”。
谷歌云Mandiant Consulting首席技术官Charles Carmakal称这次查获“对执法部门和社区来说是一个巨大的胜利”。ALPHV是最活跃的勒索软件即服务(RaaS)计划之一,他们与俄罗斯分支机构和英语西方分支机构合作。
“然而,一些ALPHV附属机构仍然活跃,包括UNC3944(分散蜘蛛)。我们预计一些附属机构将像往常一样继续进行入侵,但他们可能会尝试与其他RaaS建立关系,以提供加密、勒索和受害者羞辱支持,”他补充道。
ALPHV声明的英文版本(翻译自俄语声明)
就在上周,ALPHV的网站出现了问题,引发人们猜测其幕后黑手是执法部门。然而,该团伙声称这是由于“硬件故障”造成的。
现在,ALPHV的泄密网站不再显示受害者名单,而是显示一个醒目页面,上面有来自多个国家的执法机构的徽标,包括德国、丹麦、澳大利亚、英国、西班牙、瑞士、奥地利以及欧洲刑警组织。
网络安全专家怎么看?
网络安全公司Recorded Future的威胁情报分析师艾伦·利斯卡(Allan Liska)表示,该团伙可能只是注册了另一台服务器来链接到该网站。“.onion寻址的工作方式是,只要您拥有签名密钥,如果您使用该地址注册第二个服务器,则默认情况下会相信最新的服务器,”Liska在X上写道。
Recorded Future的威胁情报分析师Alexander Leslie在X上表示:“这充满了绝望的气息。”包括ALPHV在内的勒索软件组织长期以来一直以关键基础设施为目标。这不是什么新鲜事。”
Rubrik Zero Labs的Steve Stone解释说,首先,数据和服务器确实已被FBI扣押,并且不会被收回。斯通告诉《暗读》,“占领”和“取消占领”该网站的想法在公众话语中被广泛误解。Stone表示:“简而言之,FBI和其他执法机构已成功控制了一个数据存储库,并控制/摧毁了他们用来运行勒索软件即服务(RaaS)操作的ALPHV网站。”。“ALPHV对此做出了回应,启动了一台新服务器并应用了他们的安全密钥,这使得该站点成为新站点。”他预测,接下来,联邦调查局将把新站点恢复到已经在他们控制之下的旧站点,并且这个循环将继续下去。“联邦调查局随后会努力将其恢复到原来/查获的状态,”斯通说。“然后ALPHV又这么做了,就像我们昨天看到的那样。”
Nozomi Networks网络安全战略总监Chris Grove表示:“鉴于ALPHV的新立场,针对关键基础设施的网络攻击确实有可能增加。” “运营关键基础设施的组织应该保持高度警惕,因为这些事态发展可能会重新唤醒网络犯罪策略的休眠阶段,其中CI是公平竞争的。”格罗夫补充道,勒索软件是一项利润丰厚的业务,BlackCat不太可能不战而屈人之兵。格罗夫说:“尽管该组织的运作能力受到削弱,但他们可能会出于绝望而采取行动,以维护自己作为黑客利用其犯罪活动的安全系统的形象。” “在很短的时间内,他们就筹集到了3亿美元来资助此类行动,他们将为此而奋斗,而牺牲我们社会的安全与和平。”
ALPHV肯定会引起执法部门及其竞争对手的极大兴趣。在过去18个月中,它已成为世界上第二大最危险的勒索软件组织,其泄露网站上列出的受害者数量仅次于LockBit勒索。该团伙总部位于俄罗斯,在加密文件之前窃取文件,以威胁泄露敏感数据作为进一步的筹码。ALPHV是一家勒索软件即服务运营商,这意味着他们将勒索软件程序出租给附属公司,以获取部分勒索费用。最知名的附属公司之一是Scattered Spider(或UNC3944),据称该公司入侵了拉斯维加斯的米高梅国际公司和凯撒娱乐公司。
参考资源
1、https://cyberscoop.com/fbi-seizes-alphv-leak-website-hours-later-ransomware-gang-claims-it-unseized-it/