Правоохранители заявили, что взломали серверы вымогательской группировки BlackCat (ALPHV), а также создали инструмент для расшифровки данных, который помогает пострадавшим восстановить свои файлы.
Министерство юстиции США сообщает, что ФБР успешно скомпрометировало серверы вымогательской группировки BlackCat, несколько месяцев наблюдало за деятельностью злоумышленников изнутри и в итоге получило ключи для дешифрования файлов.
Группировка BlackCat (ALPHV) появилась около двух лет назад, в конце 2021 года, и считается, что она является «ребрендингом» известных вымогателей DarkSide и BlackMatter.
Напомним, что DarkSide получила всемирную известность в 2021 году, после масштабной атаки на оператора трубопроводов Colonial Pipeline, из‑за которой в ряде штатов был введен режим ЧС.
Информация о странных перебоях в работе сайтов BlackCat начала появляться еще в начале декабря. Так, 7 декабря 2023 года сайт для утечек данных и сайт для проведения переговоров перестали функционировать.
Хотя тогда представители группировки утверждали, что у них просто возникла проблема с хостингом, издание Bleeping Computer, со ссылкой на собственные источники, сообщало, что отключение сайтов связано с операцией правоохранительных органов. Также, по информации журналистов, в итоге хакеры были вынуждены связываться со своими жертвами напрямую по электронной почте, а не через специальный сайт переговоров.
Согласно опубликованному теперь ордеру, для проведения этой операции ФБР прибегло к помощи некого конфиденциального источника, который зарегистрировался и стал партнером группировки BlackCat. Пройдя собеседование с операторами вымогательского ПО, этот человек получил учетные данные для входа в партнерскую бэкэнд-панель.
Эта панель недоступна публично и предназначена только для операторов и аффилированных лиц группировки, позволяя им управлять вымогательскими кампаниями и договариваться о выкупе с жертвами. В соответствии с отдельным федеральным ордером, ФБР получило доступ к панели вымогателей, чтобы определить, как та работает.
Используя полученный неназванным агентом доступ, ФБР завладело приватными ключами для дешифрования файлов, в итоге создав собственный дешифратор. Сообщается, что этот инструмент уже помог почти 500 жертвам бесплатно восстановить свои файлы и позволил им не выплачивать выкупы (общий размер которых составлял 68 млн долларов США).
По данным ФБР, по состоянию на сентябрь 2023 года, партнеры Blackcat скомпрометировали более 1000 организаций (почти 75% из них находятся в США) и потребовали более 500 млн долларов выкупов от пострадавших. Из них хакеры реально получили около 300 млн долларов.
Однако остается неясным, каким образом правоохранители получили эти ключи, поскольку они недоступны обычным партнерам группировки. ИБ-специалисты полагают, что ФБР использовало полученный доступ для поиска уязвимостей, которые можно было бы использовать для дампа БД или получения дальнейшего доступа к серверу хакеров. Но пока эта теория ничем не подтверждена.
Кроме того, ФБР заявляет, что получило 946 пар приватных и публичных ключей для Tor-сайтов группы, включая переговорные сайты, сайты для «слива» данных и панели управления, после чего данные были сохранены на USB-накопителе, который сейчас хранится во Флориде. При этом не сообщается, каким именно образом были получены эти ключи. Вероятно, тем же способом, с помощью которого были получены ключи для дешифровки файлов жертв.
Тот самый USB-накопитель с ключами
При создании сайта в сети Tor, генерируется уникальная пара ключей, связанных с этим onion-адресом. Любой человек, обладающий этими ключами, фактически контролирует определенный URL-адрес или может захватить таковой, направив его на собственные серверы.
Так как пары ключей оказались в распоряжении ФБР, сайты BlackCat уже несколько раз переходили из рук в руки: от правоохранителей к хакерам и обратно. Так, правоохранительные органы разместили на сайте группировки специальную «заглушку», которая информирует о том, что домен конфискован в ходе международной операции правоохранительных органов. Сообщение гласит, что в операции принимали участие следственные органами США, Европола, Дании, Германии, Великобритании, Нидерландов, Германии, Австралии, Испании и Австрии.
Хакеры, в свою очередь, снова перехватили контроль над сайтом и опубликовали на нем сообщение с новым onion-адресом, рассказав, что правоохранители получили доступ к дата-центру, связанному с инфраструктурой группировки.
Стоит отметить, что происходящим не преминули воспользоваться конкурирующие хак-группы. К примеру, LockBit активно предлагает партнерам ALPHV «сменить команду» и переходить под ее крыло, чтобы иметь возможность продолжать вести переговоры с жертвами.
Министерство юстиции США сообщает, что ФБР успешно скомпрометировало серверы вымогательской группировки BlackCat, несколько месяцев наблюдало за деятельностью злоумышленников изнутри и в итоге получило ключи для дешифрования файлов.
Группировка BlackCat (ALPHV) появилась около двух лет назад, в конце 2021 года, и считается, что она является «ребрендингом» известных вымогателей DarkSide и BlackMatter.
Напомним, что DarkSide получила всемирную известность в 2021 году, после масштабной атаки на оператора трубопроводов Colonial Pipeline, из‑за которой в ряде штатов был введен режим ЧС.
Информация о странных перебоях в работе сайтов BlackCat начала появляться еще в начале декабря. Так, 7 декабря 2023 года сайт для утечек данных и сайт для проведения переговоров перестали функционировать.
Хотя тогда представители группировки утверждали, что у них просто возникла проблема с хостингом, издание Bleeping Computer, со ссылкой на собственные источники, сообщало, что отключение сайтов связано с операцией правоохранительных органов. Также, по информации журналистов, в итоге хакеры были вынуждены связываться со своими жертвами напрямую по электронной почте, а не через специальный сайт переговоров.
Согласно опубликованному теперь ордеру, для проведения этой операции ФБР прибегло к помощи некого конфиденциального источника, который зарегистрировался и стал партнером группировки BlackCat. Пройдя собеседование с операторами вымогательского ПО, этот человек получил учетные данные для входа в партнерскую бэкэнд-панель.
Эта панель недоступна публично и предназначена только для операторов и аффилированных лиц группировки, позволяя им управлять вымогательскими кампаниями и договариваться о выкупе с жертвами. В соответствии с отдельным федеральным ордером, ФБР получило доступ к панели вымогателей, чтобы определить, как та работает.
Используя полученный неназванным агентом доступ, ФБР завладело приватными ключами для дешифрования файлов, в итоге создав собственный дешифратор. Сообщается, что этот инструмент уже помог почти 500 жертвам бесплатно восстановить свои файлы и позволил им не выплачивать выкупы (общий размер которых составлял 68 млн долларов США).
По данным ФБР, по состоянию на сентябрь 2023 года, партнеры Blackcat скомпрометировали более 1000 организаций (почти 75% из них находятся в США) и потребовали более 500 млн долларов выкупов от пострадавших. Из них хакеры реально получили около 300 млн долларов.
Однако остается неясным, каким образом правоохранители получили эти ключи, поскольку они недоступны обычным партнерам группировки. ИБ-специалисты полагают, что ФБР использовало полученный доступ для поиска уязвимостей, которые можно было бы использовать для дампа БД или получения дальнейшего доступа к серверу хакеров. Но пока эта теория ничем не подтверждена.
Кроме того, ФБР заявляет, что получило 946 пар приватных и публичных ключей для Tor-сайтов группы, включая переговорные сайты, сайты для «слива» данных и панели управления, после чего данные были сохранены на USB-накопителе, который сейчас хранится во Флориде. При этом не сообщается, каким именно образом были получены эти ключи. Вероятно, тем же способом, с помощью которого были получены ключи для дешифровки файлов жертв.
Тот самый USB-накопитель с ключами
При создании сайта в сети Tor, генерируется уникальная пара ключей, связанных с этим onion-адресом. Любой человек, обладающий этими ключами, фактически контролирует определенный URL-адрес или может захватить таковой, направив его на собственные серверы.
Так как пары ключей оказались в распоряжении ФБР, сайты BlackCat уже несколько раз переходили из рук в руки: от правоохранителей к хакерам и обратно. Так, правоохранительные органы разместили на сайте группировки специальную «заглушку», которая информирует о том, что домен конфискован в ходе международной операции правоохранительных органов. Сообщение гласит, что в операции принимали участие следственные органами США, Европола, Дании, Германии, Великобритании, Нидерландов, Германии, Австралии, Испании и Австрии.
Хакеры, в свою очередь, снова перехватили контроль над сайтом и опубликовали на нем сообщение с новым onion-адресом, рассказав, что правоохранители получили доступ к дата-центру, связанному с инфраструктурой группировки.
Стоит отметить, что происходящим не преминули воспользоваться конкурирующие хак-группы. К примеру, LockBit активно предлагает партнерам ALPHV «сменить команду» и переходить под ее крыло, чтобы иметь возможность продолжать вести переговоры с жертвами.
