本文来自微信公众号“GoUpSec”。
本周三,BlackCat/ALPHV(黑猫)勒索软件组织创始人突然宣布解散并出售其勒索软件源代码。该团伙在Tox上的状态变为"GG"暗示操作结束,后来变为“出售源代码5kk”,表明他们想要以500万美元的价格出售其勒索软件源代码。
BlackCat的数据泄漏网站还展示了一份FBI的扣押通知(题图),看上去像是遭遇了执法机构的清剿,但讽刺的是,FBI、NCA和欧洲刑警组织都否认参与此事。
卷款跑路
根据安全人员的调查,BlackCat勒索软件的突然关闭并非遭遇执法行动,而是一次典型的“卷款跑路”。
不久前,BlackCat的加盟成员攻击了美国医疗巨头Change Healthcare,导致其全美医院和药房的处方药配送中断近两周,并索要2200万美元的天价赎金。Change Healthcare很可能支付了该笔赎金,并导致BlackCat经营者“卷款跑路”。
3月1日,安全研究人员发现BlackCat的一个赎金加密货币地址收到了一笔价值约2200万美元的单笔交易。3月3日,BlackCat的一个加盟成员“Notchy”在俄语勒索软件论坛Ramp投诉称Change Healthcare支付了2200万美元的勒索金换取解密钥匙,并防止4TB被盗数据被公开泄漏。
该加盟成员声称BlackCat团队收取了2200万美元的赎金后不但未向其支付佣金(BlackCat加盟成员的佣金分成比例高达60-90%),还将其账户冻结,BlackCat的管理员则声称是由于系统遭受了FBI的突袭。
黑猫勒索软件数据泄漏站点上的假FBI通知来源:bleepingcomputer
“在收到赎金支付后,BlackCat团队决定暂停我们的账户,并在我们联系BlackCat管理员时继续撒谎和拖延,”附属成员“Notchy”写道:“不幸的是,(已经支付赎金的)Change Healthcare的数据仍然在我们手里。”
Emsisoft的勒索软件研究负责人FabianWosar表示,诸多迹象表明BlackCat领导人是想“卷款跑路”。“ALPHV/BlackCat没有被查封,”Wosar在X上发帖指出:“他们是卷款跑路,当你检查BlackCat网站上更新的FBI扣押通知的源代码时,这显而易见。”
赎金暴雷
为了证明Change Healthcare已经支付赎金,Notchy成员分享了一个加密货币支付地址,该地址记录了350个比特币(约2300万美元)的单笔交易,日期为3月2日。
在获得该赎金后,BlackCat运营者将比特币分发到各个钱包中,每笔交易大约330万美元。
值得注意的是,虽然接收地址现在为空,但它显示累计收到并发送了接近9400万美元。
截至发稿,Change Healthcare既未确认也未否认支付,假设Change Healthcare确实支付了赎金了以防止数据被公开泄漏,目前的结果可谓血本无归。
Recorded Future的研究员Dmitry Smilyanets指出,BlackCat卷款跑路尤其危险,因为(实施攻击)的加盟成员仍然拥有所有被盗数据,并且可能要求受害者额外支付赎金以防止泄露信息。
更糟糕的是,投诉BlackHat的Notchy声称,他们还从Change Healthcare合作伙伴那里偷到了大量敏感数据,受害者名单中包括Medicare和一系列其他主要的保险和药房网络。
从积极的角度来看,Change Healthcare虽然遭遇了“赎金暴雷”,但也直接导致了BlackCat管理者“卷款跑路”,彻底终结了这个勒索软件组织,并沉重打击了RaaS勒索软件模式在网络犯罪分子中的可信度。
值得注意的是,Change Healthcare这样的医疗机构本不在BlackCat的攻击范围中。
BlackCat在2023年12月底曾被FBI渗透,执法机构扣押了BlackCat网站并发布了一个解密工具,以帮助受害者恢复系统。
随后,BlackCat很快重新组建并将加盟成员佣金提高到最多90%。BlackCat还宣布正式取消对针对医院和医疗服务提供者的任何攻击限制或劝阻,这直接导致Change Healthcare遭受了BlackCat加盟成员的攻击。