BlackCat Ransomware Group wordt stopgezet na exit-fraude ter waarde van $22 miljoen

Het verhaal rond de BlackCat-ransomware (ALPHV Ransomware) heeft een dramatische wending genomen nu de dreigingsactoren erachter schijnbaar zijn verdwenen, waardoor verwarring en speculatie in hun kielzog zijn ontstaan. Uit rapporten blijkt dat ze een exit-zwendel hebben georkestreerd, waarbij ze hun darknet-website hebben gesloten en aangesloten bedrijven in de steek hebben gelaten.

Beveiligingsonderzoeker Fabian Wosar benadrukte het verdachte karakter van de gebeurtenis en wees op discrepanties in de veronderstelde inbeslagnamebanner van de wetshandhavers die naar de site was geüpload. Deze stap is volgens Wosar een duidelijke indicator van een exit-zwendel en niet van een legitieme inbeslagname door de autoriteiten.

Ondanks claims van betrokkenheid van wetshandhavers ontkende de Britse National Crime Agency elk verband met de verstoring van de infrastructuur van BlackCat. Screenshots gedeeld door Recorded Future-beveiligingsonderzoeker Dmitry Smilyanets onthulden de intentie van de ransomware-actoren om hun broncode te verkopen voor een flink bedrag van $ 5 miljoen, waarbij inmenging van wetshandhavingsinstanties als reden voor hun abrupte verdwijning werd genoemd.

De situatie escaleerde verder met beschuldigingen dat BlackCat een enorme losgeldbetaling van $ 22 miljoen had ontvangen van de Change Healthcare-eenheid van UnitedHealth en dit niet had gedeeld met een dochteronderneming die bij de aanval betrokken was. De ontevreden partner, wiens account werd opgeschort door het administratieve personeel van BlackCat, uitte zijn grieven op het RAMP-cybercriminaliteitsforum en beschuldigde BlackCat ervan op bedrieglijke wijze de gedeelde portemonnee te hebben geleegd.

Er wordt volop gespeculeerd over de toekomst van BlackCat, waarbij sommigen een rebranding-poging suggereren om controle te omzeilen en de activiteiten onder een nieuwe identiteit voort te zetten. De onrustige geschiedenis van de groep, inclusief eerdere inbeslagnames van hun infrastructuur, draagt bij aan de intriges rond hun plotselinge verdwijning.

Malachi Walker, een veiligheidsadviseur, bood inzicht in mogelijke motieven achter de exit-zwendel, daarbij verwijzend naar zorgen over de interne veiligheid en de aantrekkingskracht van uitbetalen terwijl de waarde van cryptocurrency hoog is. Deze stap dreigt echter de reputatie van de groep te schaden en het vertrouwen onder de aangesloten bedrijven te ondermijnen.

De ondergang van BlackCat valt samen met ontwikkelingen in het ransomware-landschap, waaronder verschuivingen in de activiteiten van andere groepen zoals LockBit en de opkomst van nieuwe bedreigingen zoals RA World. Deze incidenten onderstrepen de evoluerende aard van cyberdreigingen en de uitdagingen waarmee organisaties worden geconfronteerd bij de verdediging ertegen.