باج‌ افزار BlackCat سرورهای خود را در بحبوحه اخاذی 22 میلیون دلاری خاموش کرد

گروه باج ‌افزار BlackCat

گروه باج‌ افزار BlackCat یا ALPHV، سرورهای خود را در بحبوحه ادعای اخاذی ۲۲ میلیون دلاری از اپراتور پلتفرم Change Healthcare، خاموش کرد. وبلاگ انتشار داده باج‌ افزار BlackCat از روز جمعه، بیست و سوم فوریه 2024 از دسترس خارج شده است، در حالی که BleepingComputer تایید کرده بود که سایت‌های مذاکره همچنان تا دو روز بعد فعال بودند.

BleepingComputer، چهارم مارس ۲۰۲۴ اعلام کرد که سایت‌های مذاکره عملیات باج‌ افزار BlackCat هم اکنون از دسترس خارج شده‌اند که این نشان ‌دهنده تخریب عمدی بیشتر زیرساخت‌های این گروه است. یک وضعیت کوتاه به زبان روسی در پلتفرم پیام‌رسانی که عامل تهدید باج‌افزار برای ارتباط استفاده می‌کند، نشان می‌دهد که آنها تصمیم گرفته‌اند همه چیز را خاموش و از دسترس خارج کنند.

هنوز مشخص نیست که آیا این اقدام برای اعلام پایان عملیات باج‌ افزار BlackCat می‌باشد و یا تلاشی است برای تغییر نام تجاری عملیات، تحت عنوانی دیگر.

Change Healthcare یک پلت فرم مبادله پرداخت است که پزشکان، داروخانه‌ها، ارائه دهندگان خدمات مراقبت‌های بهداشتی و بیماران را در سیستم مراقبت بهداشتی ایالات متحده به هم متصل می‌کند.

اوایل روز چهارم مارس، پلتفرم پیام‌رسان Tox که توسط اپراتور باج‌ افزار BlackCat استفاده می‌گردید حاوی پیامی به شرح زیر بود که هیچ جزئیاتی در مورد برنامه بعدی این گروه ارائه نمی‌کرد:

“Все выключено, решаем” (“همه چیز خاموش شده است، ما تصمیم می گیریم”)

باج ‌افزار BlackCat
ALPHV تصمیم گرفته است سرورها را خاموش کند

این پیام وضعیت، هم‌اکنون به ” GG” تغییر یافته است که ممکن است به معنای “بازی خوب یا good game ” باشد. با این حال، محتوای این پیام همچنان مشخص نیست.

این تصمیم ممکن است مربوط به ادعاهای شخصی باشد که خود را به عنوان یک وابسته قدیمی ALPHV/BlackCat مسئول حمله به Optum توصیف می کرده و گفته است که ALPHV آنها را از این عملیات منع کرده و باج 22 میلیون دلاری را که گفته می شود Optum برای حمله Change Healthcare پرداخت کرده، ربوده است.

Dmitry Smilyanets از شرکت اطلاعاتی تهدید Recorded Future پیامی را از طرف یک مدعی وابسته به باج افزار به اشتراک گذاشت که ادعا می‌کرد؛ Optum در یکم مارس به ALPHV/BlackCat باج پرداخت کرده است تا داده های ربوده شده از پلتفرم Change Healthcare را حذف و کد رمزگشا را دریافت کند.

یک وابسته به ALPHV
یک وابسته به ALPHV، ادعا می کند که از باج 22 میلیون دلاری Optum مورد کلاهبرداری قرار گرفته است.

عملیات RaaS معمولاً با مشارکت با وابستگان خارجی، که حملات را با استفاده از رمزگذارهای عملیات انجام می دهند، کار می کنند.

باج های دریافت شده از قربانیان بین مدیران RaaS و شرکت وابسته مسئول نفوذ و استقرار باج افزار یا سرقت داده ها به اشتراک گذاشته می شود.

در این مورد، به نظر می رسد که شرکت وابسته ای که داده ها را از Change Healthcare ربوده است، کلاهبرداری کرده است. آنها مدعی هستند که پس از پرداخت 22 میلیون دلاری باج توسط Optum، ALPHV حساب شریک آنها را تعلیق کرده و تمام پول را از کیف پول برداشت کرده است.

شخصی تحت نام کاربری ” notchy”، از وابستگان به ALPH اذعان داشت که هنوز 4 ترابایت از “داده های حیاتی” Optum را در اختیار دارد و از آن به عنوان “داده های تولیدی که بر همه مشتریان Change Healthcare و Optum تاثیر می‌گذارد” یاد کرده است.

آنها مدعی هستند که داده هایی از “ده ها شرکت بیمه” و سایر ارائه دهندگان طیف وسیعی سرویس مراقبت های بهداشتی گرفته تا مدیریت پول نقد و داروخانه ها را در اختیار دارند.

notchy برای اثبات ادعای خود، یک آدرس پرداخت ارز دیجیتال را با مجموع 9 تراکنش، انتقال اولیه 350 بیت کوین (کمی بیش از 23 میلیون دلار) و هشت تراکنش خروجی به اشتراک گذاشت. آدرس ارسال کننده بیت کوین دارای تنها دو تراکنش است، یکی 350 بیت کوین دریافت کرده و دیگری آنها را به کیف پول ادعایی ALPHV  ارسال کرده است.

BlackCat نام تجاری جدیدی از باج‌افزار DarkSide است که پس از ادعای مجری قانون مبنی بر انتقال ارز دیجیتال ربوده شده از کیف پول‌ آن‌ها تعطیل گشت. عملیات اخیر بعد از اجرای قانون که باعث اختلال در سرورهای BlackCat شد، تعجب آور نیست و ممکن اشت در صورت توقف کوتاه مدت فعالیت های آنها، مجددا ادعا و رویکرد مشابهی داشته باشند.

باج افزار BlackCat (ALPHV) در سال 2020 با نام DarkSide آغاز به فعالیت کرد. یک سال بعد، این گروه به  خط لوله استعماری حمله کرد که منجر به قطع گاز در ایالات متحده گردید. گروه باج افزار بلافاصله پس از حمله، دسترسی به زیرساخت خود را از دست داد و مدعی شد که ارائه دهنده میزبان آنها دسترسی به سرورها را مسدود کرده است.

این گروه در آن زمان، همچنین اعلام کرد که وجوه موجود در سرور پرداخت آنها به طور مرموزی به یک اکانت ناشناخته ناپدید شده است. این باج‌افزار چند ماه بعد دوباره به‌عنوان BlackMatter مشاهده گردید و فقط چهار ماه بعد، در سوم نوامبر 2021، به دلیل «فشار مقامات» تعطیل و متوقف شد.

این گروه یک بار دیگر در فوریه 2022 تحت نام ALPHV/BlackCat فعالیت خود را از سر گرفت و مشارکت خود را به وابستگان انگلیسی زبان گسترش داد. FBI، در پایان سال گذشته( نوزدهم دسامبر2023) اعلام کرد که به سرورهای این گروه باج‌ افزار نفوذ کرده، فعالیت آن‌ها را زیر نظر گرفته و کلیدهای رمزگشایی خصوصی را به دست آورده است که به بیش از 400 قربانی کمک می‌کند تا داده‌های خود را به صورت رایگان بازیابی کنند.

با این حال، ALPHV  زیرساخت‌های خود را بازسازی کرد و به حمله به شرکت‌ها و افشای اطلاعات قربانیانی که باج پرداخت نمی‌کردند، ادامه داد.

از این رو، تغییر نام تجاری ممکن است یک امر قریب الوقوع باشد.

منابع