Веб-сайты банды-вымогателя AlphV/BlackCat арестованы, ФБР выпустило расшифровщик

Власти США подтвердили дезорганизацию банды вымогателей AlphV/BlackCat, включая захват нескольких сайтов утечки данных и коммуникаций группы, а также публикацию расшифровщика, который организации-жертвы могут использовать для получения обратного доступа к зашифрованным данным.

Объявление было сделано после более чем недели молчания на сайте утечки данных банды, что привело к предположениям о том, что против плодовитой банды были предприняты действия.

«Разрушив деятельность группы, занимающейся вымогательством BlackCat, Министерство юстиции в очередной раз взломало хакеров», — заявила заместитель генерального прокурора США Лиза Монако. «Благодаря инструменту дешифрования, предоставленному ФБР сотням жертв программ-вымогателей по всему миру, предприятия и школы смогли вновь открыться, а службы здравоохранения и службы экстренной помощи смогли вернуться к работе. Мы продолжим уделять приоритетное внимание сбоям и ставить жертв в центр нашей стратегии по разрушению экосистемы, подпитывающей киберпреступность».

Инструмент расшифровки был предложен 400 жертвам банды.

Однако вскоре после заявления ФБР на одном из предположительно захваченных сайтов появилось новое сообщение на русском языке о том, что был создан новый сайт банды. В переводе написано: «Как вы все знаете, ФБР получило ключи от нашего блога, сейчас мы вам расскажем, как все произошло». В нем утверждается, что, хотя правоохранительные органы знают и могут помочь 400 компаниям расшифровать их зашифрованные данные, более чем 3000 другим жертвам помочь невозможно.

Из-за действий полиции, говорится на сайте, банда отменила все свои правила, ограничивающие действия своих филиалов. Это означает, говорится в сообщении, что ничто не может остановить атаки программ-вымогателей на больницы, атомные электростанции и другие важные организации.

Подлинность сообщения не удалось проверить Мир ИТ Канады.

В международных правоохранительных действиях также принимали участие немецкие Бундескриминаламт и Центральная криминалинспекция Геттингена, Датское специальное подразделение по борьбе с преступностью и полицейский кооператив Европола. США заявили, что существенную помощь и поддержку оказали несколько других групп, в том числе Федеральная полиция Австралии, Национальное агентство по борьбе с преступностью Соединенного Королевства и подразделение специальных операций Восточного региона, Национальная полиция Испании, Кантонская полиция Тургау Швейцарии и Управление государственной защиты и разведки Австрии.

ФБР сообщает, что за последние 18 месяцев AlphV/BlackCat стал вторым по распространенности вариантом программы-вымогателя как услуги в мире, исходя из сотен миллионов долларов выкупа, уплаченного жертвами. Среди последних хитов — MGM Resort Las Vegas. После этого нападения банда заявила, что посетители не должны винить ее в потере денег на резервациях, поскольку закрытие отеля и казино было решением руководства.

Эта межведомственная и межведомственная правоохранительная операция «венчает исторический рекорд по уничтожению программ-вымогателей, проведенных в 2023 году», — прокомментировал Илья Колоченко, генеральный директор ImmuniWeb. «Это отличный пример того, как хорошо скоординированное сотрудничество между властями ЕС, Великобритании и США при поддержке транснациональных агентств, таких как Европол, приносит эффективные результаты и замедляет растущую пандемию программ-вымогателей и взаимосвязанные хакерские кампании.

«При этом разрушение инфраструктуры киберпреступности и выборочные аресты идентифицируемых членов кибербанд редко бывают достаточными. Например, значительное количество захваченных хакерских форумов или торговых площадок воскресло через несколько недель после захвата под аналогичным или новым именем. В условиях глобальной геополитической неопределенности многие группы киберпреступников безопасно действуют из юрисдикций, не подлежащих экстрадиции, и абсолютно безнаказанно».

Если национальным государствам не удастся выработать по-настоящему глобальную конвенцию против киберпреступности, которая будет ратифицирована всеми государствами-членами ООН, предупредил он, битва с организованной киберпреступностью будет подобна борьбе с бессмертной гидрой.

Это предупреждение прозвучало в то время, когда в конце января страны собираются провести заключительную сессию переговоров по предлагаемому международному договору о киберпреступности. На прошлой неделе Cybersecurity Tech Accord, группа ведущих ИТ-компаний, включая Microsoft, Cisco Systems и Oracle, пожаловалась, что последний проект «значительно ослабит кибербезопасность, подорвет конфиденциальность данных и подорвет онлайн-права и свободы во всем мире».

Это победа правоохранительных органов, которая почти наверняка знаменует конец AlphV как бренда, сказал Бретт Кэллоу, канадский исследователь угроз из Emsisoft. «Никто не захочет иметь дело с предприятием, которое было скомпрометировано. Фактически, их деловые партнеры и филиалы уже будут задаваться вопросом, какую информацию получили правоохранительные органы и указывает ли она на них, что совсем не маловероятно.

«К сожалению, люди, стоящие за AlphV, вряд ли навсегда выйдут из игры с вымогателями. Вероятно, они развернут новую операцию с новым названием. Но даже если они это сделают, это все равно большая победа для хороших парней и большая потеря для плохих».

В ордере на обыск, использованном для поддержки действий ФБР против AlphV/BlackCat, говорится, что агентство частично полагалось на конфиденциальный человеческий источник, «который регулярно предоставляет достоверную информацию, связанную с текущими расследованиями киберпреступлений».

Источник ответил на публичное объявление, которое банда вымогателей разместила для потенциальных партнеров. После прохождения собеседования источнику были предоставлены учетные данные для доступа к партнерской системе BlackCat по уникальному адресу .onion.

В сети Tor были спрятаны сайты, захваченные правоохранительными органами. Но благодаря расследованию и источникам ФБР смогло собрать 946 пар открытых/закрытых ключей для сайтов Tor, которые банда программ-вымогателей использовала для размещения сайтов общения с жертвами, сайтов утечек и партнерских панелей.