ALPHV/BlackCat ransomware: pad i povratak
Primijećeno je da je ALPHV/BlackCat ransomware internet stranica iznenada prestala sa radom 7. decembra, da bi kasnije bilo objavljeno od strane Ministarstva pravde SAD da je FBI uspješno preuzeo servere pod kontrolom ALPHV/BlackCat ransomware grupe kako bi nadgledao njihove aktivnosti i dobio ključeve za dešifrovanje.
ALPHV/BlackCat ransomware: pad i povratak; Source: Bing Image Creator
ALPHV/BLACKCAT RANSOMWARE: PAD
Ministarstva pravde SAD je objavilo da je FBI sproveo operaciju koja im je omogućila pristup ALPHV/BlackCat ransomware infrastrukturi, što je omogućilo FBI stručnjacima da mjesecima tiho prate zlonamjerne operacije ovog zlonamjernog softvera preuzimajući ključeve za dešifrovanje.
Preuzeti ključevi za dešifrovanje se omogućili FBI-u pomogne oko 500 pogođenih žrtava ovog ransomware zlonamjernog softvera da besplatno povrate svoje datoteke, sa uštedom od približno 68 miliona dolara u zahtevima za otkupninu šifrovanih podataka. Pored toga, ova agencija za sprovođenje zakona je zaplijenila i ALPHV/BlackCat ransomware lokaciju sa koje su objavljivani ukradeni korisnički podaci, koja sada prikazuje obavještenje na kojem se navodi da je lokacija zapljenjena u međunarodnoj operaciji za sprovođenje zakona.
FBI tvrdi da su zapjenili internet lokaciju nakon što su dobili parove javnih i privatnih ključeva za skrivene usluge Tor pod kojima je internet lokacija radila, što im je omogućilo da preuzmu kontrolu nad adresama.
“Tokom ove istrage, organi za sprovođenje zakona stekli su uvid u mrežu Blackcat Ransomware grupe. Kao rezultat toga, FBI je identifikovao i prikupio 946 parova javnih/privatnih ključeva za Tor sajtove koje je Blackcat Ransomware grupa koristila za hostovanje sajtova za komunikaciju sa žrtvama, sajtova za curenje informacija i pridruženih panela poput onih koji su gore opisani. FBI je sačuvao ove parove javni/privatni ključevi na fleš disku.”
U poruci o zapljeni se navodi da su operaciju sprovele policijske i istražne agencije iz SAD, Evropola, Danske, Njemačke, Velike Britanije, Holandije, Australije, Španije i Austrije.
FBI seizure message on ALPHV data leak site; Source: BleepingComputer
PREUZIMANJE INFRASTRUKTURE
Prema otpečaćenom sudskom nalogu , FBI se angažovao sa povjerljivim ljudskim saradnikom kako bi se prijavio i postao filijala za operaciju ransomware ALPHV/BlackCat. Nakon što je ransomware grupa obavila intervju sa povjerljivim ljudskim saradnikom, on je dobio akreditive za prijavu na pozadinski partnerski panel.
Ovaj panel nije javan i namijenjen je samo za korištenje od strane operatera i filijala ransomware grupe, omogućavajući im da upravljaju kampanjama iznude i pregovaraju o otkupu sa žrtvama. U skladu sa posebnim saveznim sudskim nalogom, FBI je pristupio panelu ransomware grupe kako bi ustanovio kako funkcioniše.
Kada filijale aktivno stupaju u kontakt sa žrtvom zaraženom ALPHV/BlackCat ransomware zlonamjernim softverom, one mogu da izaberu entitet koristeći kontrolnu tablu ili da izaberu dugme “Kampanje”. Sa ekrana Kampanje, filijale mogu da vide žrtvu, tražen cijenu otkupa, cijena otkupa sa popustom, datum isteka, adresa kriptovaluta, vrstu kompromitovanog sistema na uređaju, obavještenje o zahtjevu za otkup, dopisivanje sa žrtvom i slično.
Koristeći ovaj pristup, FBI je došao do privatnih ključeva za dešifrovanje koji se koriste u napadima i napravio alat za dešifrovanje koji je pomogao preko 400 žrtava da besplatno povrate svoje podatke.
Tokom istrage, FBI je uspio da pribavi 946 parova privatnih i javnih ključeva povezanih sa Tor pregovaračkim lokacijama za ransomware operaciju, lokacijama za objavljivanje podatka i upravljačkim panelom i sačuvali ih na USB fleš disku koji se sada čuva na Floridi.
Kada se kreira internet lokacija na Tor mreži za anonimizaciju, generišu se jedinstveni privatni i javni par ključeva povezan sa .onion internet adresom koji se zatim registruje u Tor mreži. Međutim, svako ko posjeduje ove parove privatnih i javnih ključeva efektivno kontroliše internet adresu, što mu omogućava preuzme .onion internet adresu i preusmjeri na sopstvene servere.
FBI nije otkrio kako je došao u posjed privatnih i javnih ključeva povezanih za BlackCat/ALPHV ransomware grupom, ali je potvrdio da su ključevi povezani sa Tor pregovaračkim lokacijama za ransomware operaciju, lokacijama za objavljivanje podatka i upravljačkim panelom.
TREĆI GUBITAK INFRASTRUKTURE
Ova grupa za ransomware distribuciju je radila pod više imena tokom godina i svaki put su organi za sprovođenje zakona izvršili preuzimanje infrastrukture.
Grupa je prvobitno radila pod imenom DarkSide u avgustu 2020. godine, da bi bila ugašena u maju 2021. godine nakon što su se suočili sa intenzivnim pritiskom agencija za sprovođenje zakona zbog napada na Colonial Pipeline – najveći naftovod u SAD, što je privuklo dosta medijske pažnje na ovu grupu.
Grupa se vraća i nastavlja sa svojim operacijama po nazivom BlackMatter 31. jula, ali su operacije ponovo stale u novembru 2021. nakon što je Emsisoft iskoristio slabost i napravio alat za dešifrovanje, a došlo je i do zapljene servera.
Do ponovnog povratka grupe dolazi u novembru 2021. godine, ovog puta pod imenom BlackCat/ALPHV. Od tada je ransomware grupa stalno razvijala svoju taktiku iznuđivanja i uzimala neobičan pristup partnerstvu sa filijalama koje govore engleski. Međutim, grupa je postala sve više toksična kroz objave fotografija golotinje iz ukradenih podataka, kao i kroz agresivno prozivanje svojih žrtvi što ih je stavilo u fokus agencija za sprovođenje zakona.
Prema dostupnim podacima, ALPHV/BlackCat ransomware grupa je od septembra 2023. godine zaradila 300 miliona američkih dolara kroz uplate otkupa podatka od preko 1.000 žrtvi širom svijeta.
“ ALPHV BlackCat filijale imaju široke mreže i iskustvo sa ransomware-om i operacijama iznude podataka. Prema FBI-u, od septembra 2023. godine, ALPHV Blackcat filijale su kompromitovale preko 1000 entiteta — skoro 75 procenata od kojih se nalazi u Sjedinjenim Državama i približno 250 van Sjedinjenih Država— zahtijevali su preko 500 miliona dolara i dobili skoro 300 miliona dolara u otkupu.”
– FBI –
LOCKBIT KRADE ALPHV/BLACKCAT FILIJALE
Od kako je došlo do prekida rada servera ALPHV/BlackCat filijale su počele da gube povjerenje u ransomware operaciju i počeli da kontaktiraju žrtve direktno putem elektronske pošte umjesto da koriste Tor pregovaračku lokaciju ALPHV/BlackCat ransomware grupe.
Razlog za ovakvo ponašanje zlonamjernih akter možda leži u činjenici što s oni bili uvjereni da je infrastruktura ALPHV/BlackCat ransomware grupe kompromitovana od strane organa za sprovođenje zakona, što ih dovodi u opasnost ako je koriste.
Ovo ponašanje je uočila i LockBit ransomware grupa i želeći da iskoristi ovaj praznični poklon, počela da nudi filijalama i programerima a pređu u njihovu operaciju kako bi nastavili pregovore sa žrtvama.
Prema objavi LeMagIT, internet stranci posvećenoj IT informacijama, LockBitSupp – operativni menadžer grupe je počeo da regrutuje ALPHV/BlackCat ransomware filijale. U objavi na ruskom forumu za hakere, LockBitSupp je rekao filijalama da ako imaju rezervne kopije ukradenih podataka, mogu da koriste njegovu lokaciju za objavu podataka i panel za pregovore da nastave iznuđivanje od žrtvi.
Trenutno nema potvrđenih informacija da li je neka ALPHV/BlackCat ransomware filijala prešla kod LockBit ransomware grupe, ali je jedna žrtva primijećena na LockBit lokaciji za objavu podataka. Čini se da je LockBit ransomware grupa dodala Njemačku energetsku agenciju (ger. Deutsche Energie-Agentur GmbH – dena) na svoju listu žrtvi, koja je prethodno bila žrtva ALPHV/BlackCat ransomware grupe.
ALPHV/BLACKCAT RANSOMWARE: POVRATAK
ALPHV/BlackCat ransomware grupa je vjerovatno drugi najopasniji ransomware operater i izgleda da je ponovo u funkciji, nakon što je njena infrastruktura bila nedostupna pet dana. U roku od nekoliko sati nakon što je Ministarstvo pravde SAD objavilo svoje saopštenje za javnost u kojem je objavilo da je poremetilo aktivnosti ransomware grupe, ALPHV/BlackCat ransomware grupa je izdala svoju objavu.
Na mračnom internetu ALPHV/BlackCat ransomware grupa tvrdi da je “preuzela” svoj domen i zaprijetila odmazdom protiv SAD i drugih zemalja koje su pomogle u uklanjanju. Grupa je saopštila da uklanjaju sva ograničenja svojim filijala, dozvoljavajući im da ciljaju bilo koju organizaciju koju žele, uključujući kritičnu infrastrukturu. Ukratko ALPHV/BlackCat ransomware grupa kaže da neće više “igrati lijepo”… Filijalama je i dalje zabranjeno da napadaju zemlje u Zajednici nezavisnih država (ZND), koje su ranije bile dio Sovjetskog Saveza.
“Unseized” BlackCat data leak site Source: BleepingComputer
Konačno, ALPHV/BlackCat ransomware grupa je povećala udio u prihodima filijala na 90% plaćenog otkupa, što će ih vjerovatno ubijediti filijale drugih grupa da se priključe ovoj ransomware grupi.
“Kao što svi znate, FBI je dobio ključeve našeg bloga, sada ćemo vam reći kako je bilo.
Prvo, kako se sve dogodilo, nakon pregleda njihovih dokumenata, razumijemo da su dobili pristup jednom od DC, jer su svi ostali DC bili netaknuti, ispostavilo se da su nekako hakovali jednog od naših hostera, možda im je čak i on sam pomogao .
Maksimum koji imaju su ključevi za posljednjih mjesec i po dana, riječ je o 400 firmi, ali sada više od 3.000 firmi nikada neće dobiti ključeve zbog njih.
Zbog njihovog djelovanja uvodimo nova pravila, tačnije uklanjamo SVA pravila osim jednog, ne možete dirati ZND, možete blokirati bolnice, nuklearne elektrane, bilo šta i bilo gdje.
Stopa je sada 90% za sve naplate.
Firmama ne dajemo popuste, plaćanje je striktno u iznosu koji smo naveli.
VIP oglašivači dobijaju svoj privatni partnerski program, koji podižemo samo za njih, na posebnom DC-u, potpuno izolovani jedan od drugog.
Hvala vam na iskustvu, mi ćemo uzeti u obzir naše greške i raditi još više, čekajući vaše kuknjave po sobama za ćaskanje i zahteve za popustima kojih više nema.”
Ali izgleda da ne ide sve dobro za grupu. ALPHV/BlackCat ransomware stranica za objavu podatka na mračnom internetu se možda vratila, ali prikazuje samo jednu žrtvu bez znakova bilo koje od stotina drugih koje obično navodi. Usamljeni spisak na stranici je datiran 13. decembar, što je nakon obnavljanja stranice.
Mnoge pregovaračke veze grupe navodno takođe ne funkcionišu, što znači da su žrtve koje žele da isplate grupu zaglavljene u limbu i vjerovatno je da ni ALPHV/BlackCat ransomware grupa, ni filijale koje koriste njen ransomware za izvođenje napada, nisu plaćene.
ZAKLJUČAK
Kao i mnoge druge ransomware grupe, ALPHV/BlackCat radi po modelu preplate za uslugu korištenja ransomware zlonamjernog softvera (eng. ransomware-as-a-service), gdje timovi programera održavaju i ažuriraju kôd ransomware zlonamjernog softvera, kao i svu njegovu prateću infrastrukturu. Povezane filijale su podstaknute da napadaju mete visoke vrijednosti, jer generalno ubiru 60-80 procenata svih isplata, a ostatak ide zlonamjernim akterima koji vode ransomware operaciju.
Iako je akcija FBI poremetila ALPHV/BlackCat ransomware grupu, malo je vjerovatno da će je potpunosti zaustaviti. Veliki igrači kao što je ALPHV/BlackCat ransomware grupa imaju finansijska sredstva da izdrže period mirovanja, a ransomware grupe koje se suočavaju sa gašenjem često se ponovo pojavljuju kao potpuno novi entiteti ili sarađuju sa postojećim grupama.
U ljutitoj poruci nakon preuzimanja svojih internet lokacija od FBI-a, grupa je rekla da je sada uklonila sva ograničenja za filijale osim jednog, dozvoljavajući napade na bolnice, nuklearne elektrane i svu ostalu kritičnu infrastrukturu bilo gdje. Povezanim filijalama i dalje neće biti dozvoljeno da vrše bilo kakve napade na mete u Zajednici nezavisnih država, ali su sva druga ograničenja uklonjena i grupa je povećala udio u prihodima filijala na 90% plaćenog otkupa. Uz to, podsticanje filijala da pokrenu još više napada na još kritičnije mete se definitivno može posmatrati kao podizanje uloga.
Rebrendiranje je možda još uvijek na planu, ali na osnovu odgovora, grupa je i dalje operativna i sada planira da bude još osvetoljubivija. ALPHV/BlackCat ransomware grupa je rekla da ako žrtve ne uspostave kontakt pre nego što budu dodane na blog, ukradeni podaci će biti objavljeni, a porodice izvršnog osoblja i zaposlenih će biti uznemiravani – “čak ni vaša mala djeca nisu izuzeta”, napisala je ALPHV/BlackCat ransomware grupa.
Ministarstva pravde SAD kaže da svako ko ima informacije o ALPHV/BlackCat ransomware filijalama ili njihovim aktivnostima može imati pravo na nagradu do 10 miliona američkih dolara kroz program Državnog sekretarijata SAD “Nagrade za pravdu” (eng. State Department’s “Rewards for Justice”), koji prihvata podneske putem linije za dojavu zasnovanu na Tor pregledaču (posjetiti internet stranicu je moguće samo koristeći Tor pregledač).
ZAŠTITA
Najbolji način za sprečavanje ransomware napada je usvajanje proaktivnog i sveobuhvatnog pristupa sajber bezbjednosti, koji uključuje sljedeće najbolje prakse i savjete:
- Održavati sisteme i aplikacije ažuriranim sa respektivnom primjenom dostupnih sigurnosnih ispravki, posebno one sisteme koji su izloženi internetu ili sadrže osjetljive podatke. Ovo će pomoći da se izbjegne iskorištavanje poznatih ranjivosti koje su često na meti ransomware zlonamjernih aktera.
- Implementirati zaštitu identiteta, kao što su jake lozinke i autentifikacija u više koraka (eng. multifactor authentication – MFA) za sve naloge, posebno za one koji imaju mogućnost daljinskog pristupa ili administratorske privilegije. Ovo će spriječiti zlonamjerne aktere da neovlašteno pristupaju, ako su kompromitovali korisničke akreditive.
- Edukacija zaposlenih i korisnika o rizicima i naznakama krađe identiteta i drugih napada društvenog inžinjeringa, koji često za isporuku koriste ransomware ili krađu akreditiva. Zaposlene i korisnike treba naučiti da uoče sumnjive elektronske poruke, veze, priloge i zahtjeve.
- Potrebno je primijeniti i održavati sveobuhvatni bezbjednosni program, koji uključuje antivirusni softver, firewall, softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) i softverom za nadgledanje bezbjednosti mreže (eng. network security monitoring – NSM). Ovi bezbjednosni alati mogu pomoći da se otkriju i blokiraju zlonamjerne aktivnosti i da upozore na sve potencijalne prijetnje.
- Potrebno je praviti redovne rezervne kopije kritičnih podataka, redovno ih testirati i čuvati ih van mreže ili na zasebnoj mreži. Na ovaj način, podaci se mogu vratiti bez plaćanja otkupnine za njih.
- Potrebno je napraviti Plan odgovora na sajber prijetnju, gdje se obavezno trebaju navesti uloge i odgovornosti članova tima, koje korake trebaju preduzeti u slučaju napada i koji će se kanali komunikacije koristiti. Ovo omogućiti efikasan odgovor na sajber prijetnju i smanjiti će štetu od napada.
