Сайт фильтрации данных ALPHV, а также согласованный URL-адрес Tor, предоставленный жертвам в записках о выкупе, отключились 7 декабря и до сих пор не восстановлены.
Исследователи безопасности, в том числе Елисей Богуславский, главный научный сотрудник RedSense, намекнули на возможную полицейскую операцию, направленную против группы.
Богуславский сообщил, что администраторы других высокопоставленных групп, занимающихся вымогательством, напрямую связанных с ALPHV, в том числе Royal/BlackSuit, BlackBasta и LockBit, подтвердили причастность полиции к удалению.
1/3: Старший научный сотрудник RedSense Елисей Богуславский @Migdal_Eli подтверждает, что субъекты угроз, в том числе #Черная кошкаФилиалы и брокеры первичного доступа убеждены, что закрытие было вызвано действиями полиции.
– RedSense (@RedSenseIntel) 10 декабря 2023 г.
Несмотря на эти слухи, руководство BlackCat утверждает, что «скоро все наладится».
При обращении к ПипКомпьютерАдминистратор ALPHV упомянул исправления на сервере, но не предоставил дополнительных подробностей.
ReliaQuest, компания, занимающаяся операциями по обеспечению безопасности, отмечает, что на веб-сайте BlackCat неоднократно возникали периодические проблемы с подключением, хотя нынешний сбой является одним из самых продолжительных, с которыми сталкивалась группа.
Примечательно, что ни один правоохранительный орган официально не обнародовал информацию об операции, направленной конкретно против BlackCat.
ALPHV ранее отверг возможность удаления, подобного тому, которое было направлено против группы вымогателей Hive в январе 2023 года.
Аналитики ReliaQuest предполагают, что этот сбой может побудить хакеров, связанных с BlackCat, искать новые связи или даже создавать свои собственные банды, занимающиеся программами-вымогателями.
«Удаление этой группы из сферы программ-вымогателей, несомненно, оставит пустоту, поскольку ее операторы и филиалы, вероятно, перейдут в другие группы по вымогательству или создадут новые группы», — сказал Крис Морган, старший аналитик по киберугрозам в ReliaQuest.
Компания отметила, что аналогичные действия полиции в прошлом привели к расширению филиалов на новые программы, что привнесло ценный опыт предыдущих операций.
Кто такой БлэкКэт?
BlackCat впервые появилась в конце 2021 года как компания, предоставляющая выкуп как услугу и предлагающая выгодные выплаты до 90% от суммы выкупа для привлечения партнеров.
Предположительно, группа возникла, когда бывшие филиалы DarkSide и BlackMatter объединили свои усилия, подчеркнув изменчивый и взаимосвязанный характер ландшафта киберпреступности.
Операторы BlackCat, похоже, русскоязычные.
ReliaQuest отметила, что перед закрытием операции по вымогательству было зарегистрировано более 650 жертв, включая такие крупные фирмы, как Reddit, Western Digital, Swissport, MGM Resorts и NCR.
Группа недавно попала в заголовки новостей о явном взломе поставщика финансового программного обеспечения MeridianLink, заявив, что сообщила о жертве финансовому регулятору США, SEC.
В последние месяцы правоохранительные органы по всему миру все активнее преследуют банды, занимающиеся программами-вымогателями.
Операции против таких групп, как REvil, Hive, Qakbot и RagnarLocker, демонстрируют скоординированные усилия Интерпола, ФБР и Европола по демонтажу сетей киберпреступности.
Однако проблема с такими демонтажами заключается в временном характере операций киберпреступников.
Без арестов вовлеченные лица могут легко организовать новые операции, особенно если они действуют из таких юрисдикций, как Россия, которые не экстрадируют своих граждан.
Эксперты в этой области подчеркивают необходимость в более эффективных стратегиях сдерживания участников программ-вымогателей, предполагая, что отрасли следует изучить инновационные подходы, выходящие за рамки традиционного отключения инфраструктуры.
