Zamknięcie grupy BlackCat Ransomware po wyciągnięciu z niej oszustwa o wartości 22 milionów dolarów

Saga wokół oprogramowania ransomware BlackCat (ALPHV Ransomware) przybrała dramatyczny obrót, ponieważ stojące za nim podmioty zagrażające pozornie zniknęły, pozostawiając po sobie zamieszanie i spekulacje. Raporty wskazują, że zorganizowali oni oszustwo związane z wyjściem, zamykając witrynę Darknet i pozostawiając partnerów na pastwę losu.

Badacz bezpieczeństwa Fabian Wosar podkreślił podejrzany charakter zdarzenia, wskazując na rozbieżności w banerach rzekomo przedstawiających zajęcia organów ścigania przesłanym na stronę. Zdaniem Wosara posunięcie to stanowi wyraźny wskaźnik oszustwa związanego z wyjściem, a nie zgodnego z prawem zajęcia przez władze.

Pomimo twierdzeń o zaangażowaniu organów ścigania brytyjska Narodowa Agencja ds. Przestępczości zaprzeczyła jakiemukolwiek powiązaniu z zakłóceniami w infrastrukturze BlackCat. Zrzuty ekranu udostępnione przez badacza bezpieczeństwa z Recorded Future Dmitry'ego Smilyanetsa ujawniły zamiar osób zajmujących się oprogramowaniem ransomware sprzedania swojego kodu źródłowego za ogromną sumę 5 milionów dolarów, podając interwencję organów ścigania jako przyczynę ich nagłego zniknięcia.

Sytuacja zaostrzyła się jeszcze bardziej wraz z zarzutami, że BlackCat otrzymał ogromny okup w wysokości 22 milionów dolarów od jednostki Change Healthcare UnitedHealth i nie podzielił się nim z podmiotem stowarzyszonym zaangażowanym w atak. Niezadowolony partner, którego konto zostało zawieszone przez personel administracyjny BlackCat, podzielił się swoimi skargami na forum cyberprzestępczym RAMP, oskarżając BlackCat o podstępne opróżnianie wspólnego portfela.

Krążą spekulacje na temat przyszłości BlackCat, a niektóre sugerują próbę rebrandingu, aby uniknąć kontroli i kontynuować działalność pod nową tożsamością. Burzliwa historia grupy, w tym wcześniejsze przejęcia jej infrastruktury, potęguje intrygę związaną z ich nagłym zniknięciem.

Malachi Walker, doradca ds. bezpieczeństwa, przedstawił wgląd w możliwe motywy oszustwa związanego z wyjściem, powołując się na obawy dotyczące bezpieczeństwa wewnętrznego i atrakcyjności wypłaty środków, gdy wartość kryptowaluty jest wysoka. Posunięcie to stwarza jednak ryzyko zniszczenia reputacji grupy i podważenia zaufania wśród jej podmiotów stowarzyszonych.

Upadek BlackCat zbiega się z rozwojem oprogramowania ransomware, w tym zmianami w działalności innych grup, takich jak LockBit, oraz pojawieniem się nowych zagrożeń, takich jak RA World. Incydenty te podkreślają ewoluujący charakter zagrożeń cybernetycznych i wyzwania stojące przed organizacjami w zakresie obrony przed nimi.