گروه باج افزار BlackCat یا ALPHV، سرورهای خود را در بحبوحه ادعای اخاذی ۲۲ میلیون دلاری از اپراتور پلتفرم Change Healthcare، خاموش کرد. وبلاگ انتشار داده باج افزار BlackCat از روز جمعه، بیست و سوم فوریه 2024 از دسترس خارج شده است، در حالی که BleepingComputer تایید کرده بود که سایتهای مذاکره همچنان تا دو روز بعد فعال بودند.
BleepingComputer، چهارم مارس ۲۰۲۴ اعلام کرد که سایتهای مذاکره عملیات باج افزار BlackCat هم اکنون از دسترس خارج شدهاند که این نشان دهنده تخریب عمدی بیشتر زیرساختهای این گروه است. یک وضعیت کوتاه به زبان روسی در پلتفرم پیامرسانی که عامل تهدید باجافزار برای ارتباط استفاده میکند، نشان میدهد که آنها تصمیم گرفتهاند همه چیز را خاموش و از دسترس خارج کنند.
هنوز مشخص نیست که آیا این اقدام برای اعلام پایان عملیات باج افزار BlackCat میباشد و یا تلاشی است برای تغییر نام تجاری عملیات، تحت عنوانی دیگر.
Change Healthcare یک پلت فرم مبادله پرداخت است که پزشکان، داروخانهها، ارائه دهندگان خدمات مراقبتهای بهداشتی و بیماران را در سیستم مراقبت بهداشتی ایالات متحده به هم متصل میکند.
اوایل روز چهارم مارس، پلتفرم پیامرسان Tox که توسط اپراتور باج افزار BlackCat استفاده میگردید حاوی پیامی به شرح زیر بود که هیچ جزئیاتی در مورد برنامه بعدی این گروه ارائه نمیکرد:
“Все выключено, решаем” (“همه چیز خاموش شده است، ما تصمیم می گیریم”)
این پیام وضعیت، هماکنون به ” GG” تغییر یافته است که ممکن است به معنای “بازی خوب یا good game ” باشد. با این حال، محتوای این پیام همچنان مشخص نیست.
این تصمیم ممکن است مربوط به ادعاهای شخصی باشد که خود را به عنوان یک وابسته قدیمی ALPHV/BlackCat مسئول حمله به Optum توصیف می کرده و گفته است که ALPHV آنها را از این عملیات منع کرده و باج 22 میلیون دلاری را که گفته می شود Optum برای حمله Change Healthcare پرداخت کرده، ربوده است.
Dmitry Smilyanets از شرکت اطلاعاتی تهدید Recorded Future پیامی را از طرف یک مدعی وابسته به باج افزار به اشتراک گذاشت که ادعا میکرد؛ Optum در یکم مارس به ALPHV/BlackCat باج پرداخت کرده است تا داده های ربوده شده از پلتفرم Change Healthcare را حذف و کد رمزگشا را دریافت کند.
عملیات RaaS معمولاً با مشارکت با وابستگان خارجی، که حملات را با استفاده از رمزگذارهای عملیات انجام می دهند، کار می کنند.
باج های دریافت شده از قربانیان بین مدیران RaaS و شرکت وابسته مسئول نفوذ و استقرار باج افزار یا سرقت داده ها به اشتراک گذاشته می شود.
در این مورد، به نظر می رسد که شرکت وابسته ای که داده ها را از Change Healthcare ربوده است، کلاهبرداری کرده است. آنها مدعی هستند که پس از پرداخت 22 میلیون دلاری باج توسط Optum، ALPHV حساب شریک آنها را تعلیق کرده و تمام پول را از کیف پول برداشت کرده است.
شخصی تحت نام کاربری ” notchy”، از وابستگان به ALPH اذعان داشت که هنوز 4 ترابایت از “داده های حیاتی” Optum را در اختیار دارد و از آن به عنوان “داده های تولیدی که بر همه مشتریان Change Healthcare و Optum تاثیر میگذارد” یاد کرده است.
آنها مدعی هستند که داده هایی از “ده ها شرکت بیمه” و سایر ارائه دهندگان طیف وسیعی سرویس مراقبت های بهداشتی گرفته تا مدیریت پول نقد و داروخانه ها را در اختیار دارند.
notchy برای اثبات ادعای خود، یک آدرس پرداخت ارز دیجیتال را با مجموع 9 تراکنش، انتقال اولیه 350 بیت کوین (کمی بیش از 23 میلیون دلار) و هشت تراکنش خروجی به اشتراک گذاشت. آدرس ارسال کننده بیت کوین دارای تنها دو تراکنش است، یکی 350 بیت کوین دریافت کرده و دیگری آنها را به کیف پول ادعایی ALPHV ارسال کرده است.
BlackCat نام تجاری جدیدی از باجافزار DarkSide است که پس از ادعای مجری قانون مبنی بر انتقال ارز دیجیتال ربوده شده از کیف پول آنها تعطیل گشت. عملیات اخیر بعد از اجرای قانون که باعث اختلال در سرورهای BlackCat شد، تعجب آور نیست و ممکن اشت در صورت توقف کوتاه مدت فعالیت های آنها، مجددا ادعا و رویکرد مشابهی داشته باشند.
باج افزار BlackCat (ALPHV) در سال 2020 با نام DarkSide آغاز به فعالیت کرد. یک سال بعد، این گروه به خط لوله استعماری حمله کرد که منجر به قطع گاز در ایالات متحده گردید. گروه باج افزار بلافاصله پس از حمله، دسترسی به زیرساخت خود را از دست داد و مدعی شد که ارائه دهنده میزبان آنها دسترسی به سرورها را مسدود کرده است.
این گروه در آن زمان، همچنین اعلام کرد که وجوه موجود در سرور پرداخت آنها به طور مرموزی به یک اکانت ناشناخته ناپدید شده است. این باجافزار چند ماه بعد دوباره بهعنوان BlackMatter مشاهده گردید و فقط چهار ماه بعد، در سوم نوامبر 2021، به دلیل «فشار مقامات» تعطیل و متوقف شد.
این گروه یک بار دیگر در فوریه 2022 تحت نام ALPHV/BlackCat فعالیت خود را از سر گرفت و مشارکت خود را به وابستگان انگلیسی زبان گسترش داد. FBI، در پایان سال گذشته( نوزدهم دسامبر2023) اعلام کرد که به سرورهای این گروه باج افزار نفوذ کرده، فعالیت آنها را زیر نظر گرفته و کلیدهای رمزگشایی خصوصی را به دست آورده است که به بیش از 400 قربانی کمک میکند تا دادههای خود را به صورت رایگان بازیابی کنند.
با این حال، ALPHV زیرساختهای خود را بازسازی کرد و به حمله به شرکتها و افشای اطلاعات قربانیانی که باج پرداخت نمیکردند، ادامه داد.
از این رو، تغییر نام تجاری ممکن است یک امر قریب الوقوع باشد.