FBI与BlackCat斗法!勒索软件运营者泄露网站控制权争夺战上演
2023-12-21 15:58:48 Author: mp.weixin.qq.com(查看原文) 阅读量:9 收藏

美国联邦调查局(FBI)和国际执法机构联盟声称已从臭名昭著的勒索软件团伙ALPHV手中夺取了主要泄露网站的控制权,但几小时后,BlackCat/ALPHV勒索软件领导者声称他们已重新启动该组织主要博客的运营。此外,为了报复针对该团伙的执法行动,他们宣布放弃之前针对关键基础设施进行网络攻击的禁令。BlackCat还声称,除了“解封”这些网站之外,FBI提供的解密密钥已经过时,并且来自较旧的博客。

BlackCat/ALPHV勒索软件团伙是最为猖獗的勒索软件团伙之一,受害者超过1,000人,支付的赎金总额达数亿美元。它袭击了多个行业,包括医疗保健和国防工业基地公司等关键服务业。这个俄语勒索软件即服务组织也被称为BlackCat,首次出现于2021年底,并与DarkSide/Blackmatter和Revil等其他犯罪团伙有联系。美国司法部称该组织为“世界上第二多的勒索软件即服务变种”。

打击/摧毁BlackCat/ALPHV的重大成果
继1月份捣毁臭名昭著的Hive勒索软件团伙的基础设施之后,此次查获至少是当局今年第二次挫败较大的勒索软件运营商。
司法部表示,作为调查的一部分,联邦调查局还了解了Blackcat勒索软件组织的计算机网络,并查获了该组织运营的多个网站。
据新闻稿称,FBI声称已接管多个网站,并为ALPHV受害者开发了一种解密工具,该机构正在向500多名受影响的受害者提供该工具。美国司法部表示,此后,联邦调查局与“数十名受害者”合作使用该解密工具,节省了约6800万美元的赎金。
根据搜查令, FBI通过“机密人员”访问了ALPHV的后端基础设施,该人员访问了用于管理勒索的在线面板。
该消息来源“经常提供与正在进行的网络犯罪调查相关的可靠信息”,在回答ALPHV附属职位的在线广告并成功申请后,获得了进入该小组的权限。
利用这一新的访问权限,FBI收集了ALPHV用于托管通信网站、泄密网站和附属小组的网站的946个公钥/私钥对。
搜查令指出:“联邦调查局已对受害者进行了广泛的外向接触。” “此次外展活动包括使用FBI开发的工具进行解密操作,FBI已向全球400多名受害者提供该工具。”
在打击/破坏BlackCat勒索软件组织的过程中,司法部再次对黑客进行了攻击。司法部副部长丽莎·莫纳科(Lisa Monaco)在一份声明中表示,通过联邦调查局向全球数百名勒索软件受害者提供的解密工具,企业和学校能够重新开放,医疗保健和紧急服务能够恢复在线。美国将继续优先考虑打击/摧毁行动,并将受害者置于其摧毁助长网络犯罪生态系统的战略的中心。

谷歌云Mandiant Consulting首席技术官Charles Carmakal称这次查获“对执法部门和社区来说是一个巨大的胜利”。ALPHV是最活跃的勒索软件即服务(RaaS)计划之一,他们与俄罗斯分支机构和英语西方分支机构合作。

“然而,一些ALPHV附属机构仍然活跃,包括UNC3944(分散蜘蛛)。我们预计一些附属机构将像往常一样继续进行入侵,但他们可能会尝试与其他RaaS建立关系,以提供加密、勒索和受害者羞辱支持,”他补充道。

安全专家Will Thomas还认为,其附属公司将转向LockBit和其他勒索软件即服务业务,并预测BlackCat可能会休息一下并重塑品牌。 
BlackCat/ALPHV绝地反击?
就在新闻稿发出几个小时后,ALPHV团伙表示已“夺取”该网站,并正在取消关键基础设施的目标规则。然而,专家们很快指出,该团伙此前曾以关键基础设施为目标,这突显了这些团伙撒谎或夸大其词的倾向。
“由于他们的行为,我们正在引入新规则,或者更确切地说,我们正在取消所有规则,除了一条,你不能碰[独立国家联合体],你现在可以封锁医院、核电站,任何地方的任何东西,”根据该网站的翻译,几个小时前,该网站显示了世界各地执法机构的标志。

ALPHV网站的屏幕截图,东部时间下午1:30拍摄

ALPHV声明的英文版本(翻译自俄语声明)

该团伙确实指出,勒索软件附属机构仍然不能攻击曾经是苏联一部分的国家,这是勒索软件团伙在不针对俄罗斯利益的情况下寻求避免处罚的常见策略。

就在上周,ALPHV的网站出现了问题,引发人们猜测其幕后黑手是执法部门。然而,该团伙声称这是由于“硬件故障”造成的。

现在,ALPHV的泄密网站不再显示受害者名单,而是显示一个醒目页面,上面有来自多个国家的执法机构的徽标,包括德国、丹麦、澳大利亚、英国、西班牙、瑞士、奥地利以及欧洲刑警组织。

网络安全专家怎么看?

网络安全公司Recorded Future的威胁情报分析师艾伦·利斯卡(Allan Liska)表示,该团伙可能只是注册了另一台服务器来链接到该网站。“.onion寻址的工作方式是,只要您拥有签名密钥,如果您使用该地址注册第二个服务器,则默认情况下会相信最新的服务器,”Liska在X上写道。

Recorded Future的威胁情报分析师Alexander Leslie在X上表示:“这充满了绝望的气息。”包括ALPHV在内的勒索软件组织长期以来一直以关键基础设施为目标。这不是什么新鲜事。”

Rubrik Zero Labs的Steve Stone解释说,首先,数据和服务器确实已被FBI扣押,并且不会被收回。斯通告诉《暗读》,“占领”和“取消占领”该网站的想法在公众话语中被广泛误解。Stone表示:“简而言之,FBI和其他执法机构已成功控制了一个数据存储库,并控制/摧毁了他们用来运行勒索软件即服务(RaaS)操作的ALPHV网站。”。“ALPHV对此做出了回应,启动了一台新服务器并应用了他们的安全密钥,这使得该站点成为新站点。”他预测,接下来,联邦调查局将把新站点恢复到已经在他们控制之下的旧站点,并且这个循环将继续下去。“联邦调查局随后会努力将其恢复到原来/查获的状态,”斯通说。“然后ALPHV又这么做了,就像我们昨天看到的那样。”

Nozomi Networks网络安全战略总监Chris Grove表示:“鉴于ALPHV的新立场,针对关键基础设施的网络攻击确实有可能增加。” “运营关键基础设施的组织应该保持高度警惕,因为这些事态发展可能会重新唤醒网络犯罪策略的休眠阶段,其中CI是公平竞争的。”格罗夫补充道,勒索软件是一项利润丰厚的业务,BlackCat不太可能不战而屈人之兵。格罗夫说:“尽管该组织的运作能力受到削弱,但他们可能会出于绝望而采取行动,以维护自己作为黑客利用其犯罪活动的安全系统的形象。” “在很短的时间内,他们就筹集到了3亿美元来资助此类行动,他们将为此而奋斗,而牺牲我们社会的安全与和平。”

ALPHV肯定会引起执法部门及其竞争对手的极大兴趣。在过去18个月中,它已成为世界上第二大最危险的勒索软件组织,其泄露网站上列出的受害者数量仅次于LockBit勒索。该团伙总部位于俄罗斯,在加密文件之前窃取文件,以威胁泄露敏感数据作为进一步的筹码。ALPHV是一家勒索软件即服务运营商,这意味着他们将勒索软件程序出租给附属公司,以获取部分勒索费用。最知名的附属公司之一是Scattered Spider(或UNC3944),据称该公司入侵了拉斯维加斯的米高梅国际公司和凯撒娱乐公司。

参考资源

1、https://cyberscoop.com/fbi-seizes-alphv-leak-website-hours-later-ransomware-gang-claims-it-unseized-it/

2、https://www.securityweek.com/blackcat-ransomware-group-responds-to-disruption-caused-by-law-enforcement/
3、https://www.darkreading.com/cybersecurity-operations/blackcat-unseizes-sites-fbi-revenge-attacks
4、https://www.malwarebytes.com/blog/ransomware/2023/12/alphv-ransomware-gang-returns-sorta

文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247541343&idx=4&sn=ba8084a824c429cd2d969bfd92f0f145&chksm=c1e9ae0ef69e2718f0812ce95d09bfc8342d4e2117f0c1a3dcddb401b9eaeeaeaf7518aeeb64&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh