После 18-месячного бесчинства правоохранительные органы наконец-то начали борьбу с печально известной группой вымогателей Alphv/BlackCat. В течение нескольких часов операция столкнулась с препятствиями.
В последние дни исследователи начали замечать, что на сайте группы, расположенном в даркнете, происходят сбои в работе, но злоумышленники утверждали, что это просто аппаратные неполадки. Затем, во вторник утром, на сайте появилось сообщение: "Федеральное бюро расследований изъяло этот сайт в рамках скоординированных действий правоохранительных органов против Alphv Blackcat Ransomware"
Во вторник днем веб-сайт банды вновь ожил, на нем появилось изображение силуэта мультяшной черной кошки и баннер, провозглашающий: "ЭТОТ САЙТ БЫЛ ИЗЪЯТ". Сообщение оставалось примерно два часа, прежде чем правоохранительным органам удалось взять ситуацию под контроль и сообщение об удалении вернулось.
В последние месяцы "Альфв" становится все более дерзкой. Например, в ноябре банда подала жалобу в Комиссию по ценным бумагам и биржам США, утверждая, что цифровой кредитор MeridianLink не предоставил надлежащей информации об утечке данных, которую Alphv сама приписывает себе.
В отместку за действия правоохранительных органов Alphv заявила на своем недавно возрожденном сайте, что отменяет правила таргетинга для преступных клиентов, которые хотят использовать программы-вымогатели группировки для атак на критически важные объекты инфраструктуры.
Группировка и ее филиалы и без того ведут себя очень агрессивно в своих операциях. Министерство юстиции заявило, что жертвами банды стали более 1000 человек по всему миру, в том числе некоторые из них - представители критической инфраструктуры США, и что за последние 18 месяцев Alphv стала "вторым по распространенности вариантом ransomware-as-a-service в мире", собрав с жертв сотни миллионов долларов. Alphv' был очень заметен, вызывая сбои в работе популярных компаний, включая MGM Resorts, и вымогая у жертв огромные суммы, например, около 15 миллионов долларов у Caesars Entertainment. Целью нападений также стали медицинские и аварийные службы, оборонные компании, школы, производство и правительственные учреждения.
Хотя утром во вторник' действия правоохранительных органов должны были нанести критический удар по банде, они не сопровождались санкциями или обвинительными заключениями и в конечном итоге казались просто завершением более чем годичного периода всепроникающих и имеющих серьезные последствия атак. Тот факт, что во вторник днем банде удалось ненадолго "освободить" сайт, лишь усилил ощущение сложности борьбы с такими киберпреступниками, особенно с теми, кто, как и те, кто стоит за Alphv, похоже, базируется в относительной безопасной гавани России.
"Правоохранительные органы действуют гораздо быстрее, но все еще недостаточно быстро," - говорит Аллан Лиска, аналитик компании Recorded Future, специализирующейся на безопасности вымогательского ПО. "На создание дела уходит много времени, а тем временем эти группы сеют хаос".
Частью причины задержки правоохранительных органов в попытке уничтожить инфраструктуру Alphv' могло стать продолжающееся расследование в отношении лиц, стоящих за группой. Alphv/BlackCat, похоже, развилась из банды, известной как BlackMatter, которая, в свою очередь, возникла как рекомбинация печально известной группы Darkside ransomware, нацеленной на Colonial Pipeline в США.
"Это не первое их дерьмовое шоу. К сожалению, вероятно, оно не станет и последним", - говорит Бретт Кэллоу, аналитик угроз из антивирусной компании Emsisoft. "Но партнеры Alphv' по преступлению будут задаваться вопросом: какую информацию удалось собрать правоохранительным органам? И на кого она указывает?"
Усилия по уничтожению вируса включали в себя сотрудничество и параллельное расследование со стороны нескольких правоохранительных органов, в том числе из Великобритании, Австралии, Германии, Испании и Дании. Во вторник Министерство юстиции США сообщило, что разработанный ФБР инструмент для расшифровки выкупа Alphv уже помог более чем 500 жертвам восстановиться после атак и избежать выплаты выкупа в размере около 68 миллионов долларов.
Поскольку группы, занимающиеся выкупом, все больше полагаются на гибридную модель, в которой большая часть их рычагов для вымогательства связана с угрозой утечки данных, украденных у жертв, расшифровщики являются лишь одним из многих инструментов, необходимых для того, чтобы помочь жертвам избежать выплаты выкупа. Но попытка Alphv' во вторник днем позволить своим клиентам использовать ее программу-вымогатель для атак на жизненно важные службы, такие как больницы и атомные станции, делает существование расшифровщика более значимым, учитывая, насколько опасной и разрушительной может быть такая деятельность.
"Заявление о нападении на критически важную инфраструктуру весьма тревожно. Это будет постоянная борьба, несомненно. Правоохранительным органам придется активно распространять ключи и инструменты для расшифровки среди жертв", - говорит Алекс Лесли, аналитик по анализу угроз в компании Recorded Future. И вымогательство данных все еще в силе". Вообще говоря, вымогательство данных не будет столь разрушительным с точки зрения кризиса национальной безопасности в краткосрочной перспективе, но кто знает."
В ордере на обыск, опубликованном ФБР, говорится, что правоохранительные органы получили учетные данные для входа на платформы банды вымогателей от "конфиденциального человеческого источника", имеющего доступ к группе. Хотя не сразу стало ясно, как Alphv "отвязалась" от своего сайта после действий правоохранительных органов, во вторник днем исследователи начали сходиться в некоторых теориях. Поскольку и злоумышленники, и правоохранительные органы имели доступ к ключам входа, возможно, что несколько сайтов были зарегистрированы на один и тот же Tor-адрес или что Alphv смогла добавить еще одну регистрацию и затем направить сайт на серверы, которые правоохранительные органы не контролировали. Однако правоохранительные органы, вероятно, получили глубокий доступ к инфраструктуре банды, что и позволило им вернуть сайт.