وزارت دادگستری ایالات متحده آمریکا رسماً توقیف عملیات باج افزار BlackCat را اعلام و ابزار رمزگشایی این باج افزار را منتشر کرد که بیش از ۵۰۰ قربانی آسیب دیده میتوانند از این ابزار جهت دسترسی مجدد به فایلهای رمز شده خود توسط بدافزار استفاده کنند.
اسناد دادگاه حاکی از آن است که اداره تحقیقات فدرال (FBI) ایالات متحده آمریکا از یک منبع انسانی توانمند و قابل اطمینان کمک گرفته است تا به عنوان یک واسط برای هک گروه باج افزار BlackCat عمل نماید و به صفحه وبی که جهت مدیریت قربانیان این باند مورد استفاده قرار میگیرد، دست یابد.
چندین سازمان مجری قانون از ایالات متحده آمریکا، آلمان، دانمارک، استرالیا، بریتانیا، اسپانیا، سوئیس و اتریش در این اقدام مهم با یکدیگر همکاری داشتهاند.
BlackCat که با نامهای ALPHV، GOLD BLAZER و Noberus نیز شناخته میشود، اولین بار در دسامبر ۲۰۲۱ ظاهر شد و از آن زمان به بعد پس از LockBit از نظر تعداد قربانی، دومین بدافزار از نوع باج افزار به عنوان یک سرویس (RaaS) شناخته میشود و همچنین اولین گونه باج افزار مبتنی بر Rust میباشد.
FBI تاکنون به دهها قربانی در ایالات متحده برای رمزگشایی دادهها کمک کرده و آنها را از اخاذی ۶۸ میلیون دلاری نجات داده است و همچنین بینشی در مورد شبکه کامپیوتری باج افزار به دست آورده است که به آن اجازه میدهد تا ۹۴۶ جفت کلید عمومی/خصوصی مورد استفاده برای میزبانی سایتهای TOR که توسط این گروه اداره میشوند را جمع آوری و آنها را از حذف کند.
نکته مهمی که در اینجا باید به آن توجه کرد این است که ایجاد یک سرویس مخفی با “URL .onion” در شبکه ناشناس سازی TOR، یک جفت کلید منحصر به فرد متشکل از یک کلید خصوصی و عمومی (معروف به شناسه) ایجاد می کند که میتواند برای دسترسی و کنترل URL مورد استفاده قرار گیرد. بنابراین، عاملی که جفت کلید را در اختیار دارد، میتواند مسیر جدیدی را بسازد که ترافیک سایت ” .onion” را به سرور تحت کنترل خود هدایت کند.
BlackCat، مانند چندین باج افزار دیگر، از یک مدل باج افزار به عنوان سرویس استفاده میکند که شامل ترکیبی از توسعه دهندگان اصلی و شرکتهای وابسته است که پیلود را اجاره میدهند و مسئول شناسایی و حمله به موسسات قربانی حائز اهمیت میباشند.
باج افزار BlackCat همچنین از طرح اخاذی مضاعف بهره میجوید تا با استخراج دادههای حساس پیش از رمزگذاری، قربانیان را تحت فشار قرار داده و از آنها اخاذی کند. عوامل باج افزار BlackCat از روشهای متعددی همچون استفاده از گواهیهای اعتبار کاربری افشا شده جهت دسترسی اولیه به سیستم و شبکه قربانی استفاده میکنند.
در مجموع، تخمین زده میشود که این عامل تهدید با انگیزه مالی، شبکههای بیش از هزار قربانی در سراسر جهان را به خطر انداخته و تا سپتامبر ۲۰۲۳ نزدیک به ۳۰۰ میلیون دلار درآمد غیرقانونی به دست آورده است. همچنین مشاهده شده است که پس از حذف این باج افزار، گروههای رقیب مانند LockBit، با استخدام فعالانه شرکتهای وابسته به باج افزار BlackCat، از این موقعیت به وجود آمده، سوء استفاده کردهاند.
سخنگوی BlackCat در گفتگو با گروه تحقیقاتی بدافزار vx-underground اظهار داشت که گروه BlackCat، سرورها و وبلاگهای خود را منتقل کرده و سازمانهای مجری قانون فقط به یک “کلید قدیمی بسیار ساده” مورد استفاده برای سایت قدیمی دسترسی یافتهاند که مدتها پیش توسط این گروه حذف شده و تا کنون از آن استفاده نشده است.
جدیدترین وب سایت مشاهده شده توسط این عامل تهدید تا زمان نگارش این گزارش همچنان فعال میباشد. Secureworks طی گزارشی که در نوزدهم سپتامبر ۲۰۲۳ منتشر کرد، اظهار داشت که این گروه، سیزدهم دسامبر خبر اخاذی از اولین قربانی را در سایت جدید خود منتشر کرد. پنج قربانی نیز از نوزدهم دسامبر تا کنون در سایت جدید پست شدهاند که نشان میدهد BlackCat تا حدودی ظرفیت عملیاتی خود را حفظ کرده است.
با این حال، BlackCat ساعاتی پس از حذف گروه، با استفاده از همان مجموعه کلیدهای رمزنگاری لازم به منظور میزبانی سرویس مخفی در شبکه TOR و ارسال اخطار توقیف خود، اقداماتی را برای «آزادسازی» سایت نشت اصلی به انجام رساند. BlackCat همچنین به شرکتهای وابسته، برای نفوذ به زیرساختهای حیاتی مانند بیمارستانها و نیروگاههای هستهای و همچنین سایر اهداف به استثنای کشورهای مشترک المنافع (CIS) به عنوان اقدامی تلافیجویانه، چراغ سبز نشان داده است. FBI از آن زمان مجدداً وب سایت را تصرف کرده است.
عوامل تهدید قصد دارند طوری رفتار کنند که به نظر برسد ماموران دولت باعث حمله به زیر ساختها می باشند اما باج افزار BlackCat پیش از این نیز سابقه حمله به زیرساختهای مراقبت های بهداشتی و انرژی را در کارنامه خود به ثبت رسانده است. با توجه به آنکه چنین فعالیتهایی، توجه مجریان قانون را بیشتر به خود جلب میکنند، بعید به نظر میرسد که شرکتهای وابسته، چنین سازمانهایی را مورد هدف قرار دهند، به خصوص که باج افزارها در بیشتر موارد به دنبال فرصتی برای اخاذی از شبکههای قربانیان هستند. از طرفی هم احتمال دارد که شرکتهای وابسته از BlackCat جدا شده و به سمت دیگر اپراتورهای باج افزار مانند LockBit سوق داده شوند.
