Działanie oprogramowania ransomware ALPHVBlackCat zostało zakłócone

Departament Sprawiedliwości Stanów Zjednoczonych ogłosił, że zakłócił działalność grupy zajmującej się oprogramowaniem ransomware ALPHV i przejął klucze odszyfrowujące, które mogłyby pomóc 500 ofiarom rozszyfrować ich pliki bez konieczności płacenia okupu.

Firma zajmująca się tworzeniem ransomware została zaatakowana przez władze

Rosyjskojęzyczna grupa ALPHV (znana również jako BlackCat lub Noberus) to jedna z najbardziej znanych na świecie grup zajmujących się oprogramowaniem ransomware, mająca wśród wielu ofiar m.in. firmy zajmujące się operacjami plastycznymi w Beverly Hills, giganta kasyn w Las Vegas MGM Resorts, sieci hoteli i firmę kosmetyczną Estée Lauder.

Zaledwie w zeszłym miesiącu ALPHV trafiło na pierwsze strony gazet po tym, jak bezczelnie złożyła skargę do SEC, twierdząc, że firma, do której się włamała (ale odmówiła zapłaty okupu), nie powiadomiła władz o naruszeniu danych.

Departament Sprawiedliwości Stanów Zjednoczonych twierdzi, że ALPHV/Blackcat za drugi najbardziej płodny wariant oprogramowania ransomware jako usługi (RaaS) na świecie, biorąc pod uwagę setki milionów dolarów wyłudzonych od ofiar na całym świecie.

Jednakże od dzisiaj osoby odwiedzające ciemną stronę internetową ALPHV są witane banerem informującym, że witryna została przejęta przez władze.

Okazuje się, że FBI ciężko pracowało za kulisami z dziesiątkami ofiar ALPHV, oszczędzając im szacunkowo 68 milionów dolarów okupu, udostępniając metodę bezpłatnego odszyfrowania ich danych.

W jaki sposób FBI zakłóciło usługę ransomware?

Jak opisano w niezapieczętowanym nakazie przeszukania, infrastruktura gangu zajmującego się oprogramowaniem ransomware nie była tak bezpieczna, jak mogłaby sobie tego życzyć.

Jak donosi Bleeping Computer, poufne źródło FBI pomyślnie zarejestrowało się jako podmiot stowarzyszony z operacją ransomware ALPHV/BlackCat i uzyskało dostęp do panelu stowarzyszonego zaplecza grupy.

Po uzyskaniu dostępu do prywatnego panelu kontrolnego ALPHV agenci FBI byli w stanie zebrać istotne informacje na temat działalności przestępczego przedsiębiorstwa.

„Na witrynie hakerów ich partnerzy mogą zobaczyć, kto jest ofiarą, żądaną cenę pełnego okupu, cenę okupu z rabatem, datę ważności, adresy kryptowalut, transakcje kryptowalutowe, typ przejętego systemu komputerowego, żądanie okupu, rozmowy z ofiarą i wiele więcej” wyjaśniło FBI.

Dzięki temu dostępowi śledczy byli w stanie uzyskać klucze deszyfrujące użyte w atakach i udostępnić je setkom ofiar w celu bezpłatnego odzyskania ich danych.

ALPHV/BlackCat to firma, co prawda cyberprzestępcza, jednak działa, jak każda inna firma i nie zniesie tego, gdy jej operacje zarabiania pieniędzy zostaną zakłócone (w tym przypadku przez władze walczące z przestępczością).

W ciągu kilku godzin od wydania przez Departament Sprawiedliwości komunikatu prasowego informującego o zakłóceniu niektórych działań grupy zajmującej się oprogramowaniem ransomware ALPHV/BlackCat wydał własne oświadczenie.

W ciemnej sieci ugrupowanie ransomware ALPHV/BlackCat stwierdziło, że „odzyskało” swoją domenę i zagroziło odwetem wobec Stanów Zjednoczonych oraz innych krajów, które pomogły w usunięciu ich zasobów, umożliwiając swoim podmiotom stowarzyszonym przeprowadzanie ataków na infrastrukturę krytyczną.

Jak wyjaśnił na Twitterze badacz bezpieczeństwa Allan Liska, twierdzenia grupy zajmującej się oprogramowaniem ransomware, jakoby „odzyskała” ona jej serwer, są nieco nieszczere. Jednakże zachęcanie oddziałów ALPHV/BlackCat do przeprowadzania jeszcze większej liczby ataków na jeszcze bardziej krytyczne cele z całą pewnością można postrzegać jako podniesienie stawki.

Jeśli chcesz uchronić się przed następstwami oprogramowania ransomware, to pamiętaj o odpowiednim zabezpieczeniu swoich urządzeń za pomocą skutecznego systemu antywirusowego, np. Bitdefender Total Security.