گروه باج افزار BlackCat در حال انجام یک کلاهبرداری خروجی است و تلاش میکند با وانمود کردن به اینکه FBI، سایت و زیرساختهای آنها را تصرف کرده است، پولهای وابستهها را برداشت کرده و بگریزد. این گروه، کد منبع بدافزار خود را به قیمت 5 میلیون دلار برای فروش گذاشته است.
ALPHV در یک انجمن هکری، اذعان داشت که آنها بدون ارائه جزئیات اضافی، تصمیم گرفتهاند پروژه را به دلیل دخالتهای فدرال متوقف سازند. با این حال، یک سازمان ملی اجرای قانون به BleepingComputer اعلام کرد که آنها در هیچ گونه اختلال اخیر در زیرساخت ALPHV دخالت نداشتهاند.
گروه باج افزار BlackCat، عملیات کلاهبرداری خروج را از روز جمعه یکم مارس ۲۰۲۴، زمانی که وبلاگ انتشار داده Tor خود را آفلاین نمود، آغاز کرد. روز دوشنبه (چهارم مارس)، آنها سرورهای مذاکره را تعطیل کردند و اعلام نمودند که تصمیم دارند همه چیز را خاموش کنند. گروه باج افزار BlackCat یا ALPHV، سرورهای خود را در بحبوحه ادعای اخاذی ۲۲ میلیون دلاری از اپراتور پلتفرم Change Healthcare، خاموش کرده است (گزارش کامل را از اینجا دریافت کنید).
Change Healthcare یک پلت فرم مبادله پرداخت است که پزشکان، داروخانهها، ارائه دهندگان خدمات مراقبتهای بهداشتی و بیماران را در سیستم مراقبت بهداشتی ایالات متحده به هم متصل میکند.
اوایل روز چهارم مارس، پلتفرم پیامرسان Tox که توسط اپراتور باج افزار BlackCat استفاده میگردید حاوی پیامی به شرح زیر بود که هیچ جزئیاتی در مورد برنامه بعدی این گروه ارائه نمیکرد:
“Все выключено, решаем” (“همه چیز خاموش شده است، ما تصمیم می گیریم”).
مدیران عملیات در پیامی در یک فروم هکر که توسط دیمیتری اسمیلیانتز از Recorded Future به اشتراک گذاشته شد، اعلام کردند که “تصمیم گرفتهاند پروژه را به طور کامل ببندند” و آنها رسماً اعلام کردند که FBI مقصر این ماجراست.
در زمان نگارش این مقاله، سایت انتشار داده ALPHV یک بنر جعلی را نشان می دهد که اعلام می کند دفتر تحقیقات فدرال (FBI) سرور را در یک “اقدام هماهنگ قانونی علیه باج افزار ALPHV Blackcat” توقیف کرده است.
اما BleepingComputer متوجه شد که تصویر بنر از یک آرشیو استخراج شده است.
Fabian Wosar، متخصص باج افزار، به BleepingComputer اعلام کرد که گروه باج افزار به سادگی یک Python SimpleHTTPS Server را برای ارائه بنر جعلی اجرا کرده است.
شایعات در مورد کلاهبرداری احتمالی خروج از ALPHV زمانی آغاز شد که یکی از شرکای قدیمی ALPHV، ملقب به ” Notchy”، ادعا کرد که گروه، حساب او را بسته و 22 میلیون دلار از باج پرداخت شده توسط Optum برای Change Healthcare را ربوده است.
او به عنوان مدرکی برای اثبات ادعای خود، یک آدرس پرداخت ارز دیجیتال را به اشتراک گذاشت که تنها یک انتقال دریافتی 350 بیت کوین (حدود 23 میلیون دلار) از کیف پولی را ثبت کرده است که به نظر می رسد به طور خاص برای این تراکنش در دوم مارس استفاده شده است.
پس از دریافت وجوه، آدرس گیرنده که گفته میشود متعلق به اپراتورهای ALPHV میباشد، بیتکوینها را در تراکنشهای مساوی حدود ۳.۳ میلیون دلار در کیفهای مختلف توزیع کرده است. شایان ذکر است، در حالی که آدرس گیرنده اکنون خالی است، نشان میدهد که نزدیک به 94 میلیون دلار دریافت و ارسال کرده است.
با ادعای عدم پرداخت پول توسط شرکت های وابسته، خاموشی ناگهانی زیرساخت، قطع روابط با چندین شرکت وابسته، پیام ” GG” در Tox، اعلام اینکه آنها کد منبع بدافزار را می فروشند، و به ویژه تظاهر به اینکه FBI کنترل آن را به دست گرفته است، تمامی این وقایع حاکی از آن است که مدیران باج افزار ALPHV/BlackCat در حال خروج از باند کلاهبرداری هستند.
در حال حاضر، مشخص نیست که آیا باج افزار Blackcat با نام جدید بازخواهد گشت یا خیر. با این حال، یک چیز قطعی است، اینکه شهرت آنها به طور قابل توجهی خدشه دار شده است و باعث میشود که شرکت های وابسته مشکوک بخواهند در آینده با آنها کار کنند.
