Спустя шесть недель после совершения атаки, которая парализовала часть системы здравоохранения США , киберпреступная группировка, связанная с этим инцидентом, нарастила темпы отмывания доходов, полученных в результате предполагаемого получения выкупа, даже несмотря на то, что хакеры, замешанные во взломе, продолжают оставаться незамеченными.
Группа вирусов-вымогателей ALPHV взяла на себя ответственность за атаку 21 февраля на Change Healthcare, платёжную систему, которая затрагивает данные каждой третьей американской истории болезни пациента. Атака на Change ограничила возможность аптек и поставщиков медицинских услуг получать платежи и создала серьёзную нагрузку на систему здравоохранения США.
Ранее в этом месяце специалисты по киберпреступности сообщили, что на биткоин-кошелек, связанный с предыдущими выкупами ALPHV, поступило 22 миллиона долларов , что породило предположения о том, что материнская компания Change, UnitedHealth Group, внесла свой вклад в выплату выкупа.
Теперь ALPHV, судя по всему, предпринимает шаги по дальнейшей сокрытию назначения этих средств.
По данным компании TRM Labs, занимающейся блокчейн-аналитикой, недавно средства были переведены из биткоин-кошельков, связанных с другими выкупами, выплаченными ALPHV, причем эти средства были переведены на несколько других адресов и через миксер — инструмент, используемый для сокрытия транзакций, которые можно отследить в публичном реестре.
«За последнюю неделю мы наблюдали рост активности по отмыванию денег», — сообщил CyberScoop в электронном письме Ари Редборд, руководитель отдела глобальной политики TRM Labs. Например, 27 марта TRM Labs зафиксировала, что 50 биткоинов — примерно 3,5 миллиона долларов — «перешли с кошельков, связанных с группировкой, на сервис микширования. Кроме того, в период с 22 по 27 марта мы наблюдали многочисленные снятия средств с кошельков, связанных с группой вымогателей, и их отправку на глобальную биржу».
ФБР отказалось комментировать ход расследования инцидента.
На фоне действий ALPHV по сокрытию средств, которые он, как сообщается, вымогал у UnitedHealth Group, инцидент остается окутанным безответными вопросами, в частности относительно дочерней компании-вымогателя, которая осуществила атаку на Change.
Группы, занимающиеся разработкой программ-вымогателей, такие как ALPHV, работают по партнёрской модели. Партнёры осуществляют атаки с использованием инструментов ALPHV в обмен на часть доходов от любых платежей. В инциденте Change партнёр под ником «notchy» заявил, что совершил атаку, но был отключён после уплаты выкупа.
В последние недели Notchy затих, обвинив ALPHV в мошенничестве. По словам Notchy, ALPHV так и не выплатила им свою долю от выплаты в размере 22 миллионов долларов от UnitedHealth. Вместо этого ALPHV закрыла их сайт и ложно заявила, что они стали жертвой операции правоохранительных органов.
После взлома Change компания Notchy заявила, что получила четыре терабайта данных, связанных с основными партнёрами компании, включая CVS Caremark и других. Представитель CVS Caremark сообщил CyberScoop, что компания осведомлена о «необоснованном заявлении», опубликованном в связи с атакой, но «на данный момент Change Healthcare не подтвердила, пострадала ли какая-либо хранящаяся у неё информация об участниках или пациентах, включая информацию CVS Health или CVS Caremark, от этого инцидента».
Среди других организаций, о которых Notchy заявила, что располагает данными, — Medicare, Tricare, Loomis, Davis Vision, Health Net, MetLife и Teachers Health Trust, а также «десятки страховых компаний и другие». Ни одна из них не ответила на запросы о комментариях.
Неясно, владеет ли notchy этими данными на самом деле, но, учитывая, что ALPHV обманом лишила его своей доли выгодного выкупа, эти данные могут представлять собой существенный актив.
Представитель UnitedHealth Group не ответил на вопросы CyberScoop о том, насколько компания понимает, что представляют собой какие-либо неразглашаемые данные. UnitedHealth Group «всё ещё определяет содержание данных, полученных злоумышленником», включая защищённую медицинскую информацию или персональные данные, сообщила компания в обновлении, опубликованном на её веб-сайте 27 марта. В среду представитель заявил, что эта публикация представляет собой «самую актуальную информацию», которой компания располагает.
Исследователи киберпреступности говорят, что они пока не видели, чтобы данные предлагались к продаже, но сразу после атаки notchy опубликовал сообщение с предложением сотрудничать с людьми, которые могли бы продолжать совершать атаки, но вскоре закрыл эту ветку.
«Я думаю, что на данный момент это скорее ситуация, когда нужно затаиться», — сказал Гаррет Карстенс, вице-президент по разведывательным операциям в Intel 471.
По словам Карстенса, если Notchy или любой другой злоумышленник действительно обладает заявляемыми данными, главная проблема заключается в том, что их можно использовать для атаки на другие сети. Notchy — эффективный злоумышленник, добавил он, поскольку анализ Intel 471 показывает, что группа могла взламывать новые сети со скоростью около «десятка в неделю» примерно во время атаки на Change Healthcare.
О никнейме notchy известно относительно мало, но, возможно, им владеет несколько человек, поскольку он использует местоимения во множественном числе при обращении к себе. Имя пользователя было впервые зарегистрировано на русскоязычном форуме RAMP в декабре 2021 года, но первая публикация состоялась в августе 2022 года, и, по данным компании KELA, занимающейся кибербезопасностью, было опубликовано всего 11 раз .
Notchy, возможно, связан как минимум с двумя другими никами на другом форуме, посвящённом киберпреступности, Exploit. Эти два ника, в свою очередь, могут быть связаны как минимум с одним ником в Telegram, который был активен в англо- и русскоязычных каналах, связанных с мошенничеством с кредитными картами и вредоносным ПО для кражи информации, сообщает KELA.
Согласно журналам чатов Telegram, предоставленным компанией Unit 221B, занимающейся кибербезопасностью, в мае 2022 года удаленный ник Telegram, возможно, связанный с notchy, разместил сообщение на торговой площадке для украденных учетных данных, спрашивая о наличии учетных данных виртуальной частной сети «только для США», связанных с приложениями для удаленного рабочего стола, — вероятное указание на методы и типы целей, представляющих интерес для персоны notchy.
Учётные данные часто похищаются с помощью вредоносных программ для кражи информации, которые собирают персональные данные из метаданных браузера жертвы. Например, в период с 1 июля 2021 года по 30 июня 2022 года исследователи Group-IB обнаружили , что на различных форумах было выставлено на продажу 96 миллионов журналов, 80% из которых принадлежали пользователям из США.
По словам Карстенса, Notchy обычно пишет на английском, но, вероятно, понимает и русский. Кроме того, похоже, Notchy предпочитает вести дела преимущественно по московскому времени, но Карстенс предостерёг от придания этому факту слишком большого значения.
В подтверждение своих заявлений о мошенничестве со стороны ALPHV, Notchy опубликовал скриншоты переписки с администраторами ALPHV на платформе обмена сообщениями Tox, а также ссылку на криптовалютный кошелёк, на который, как предполагается, был отправлен вымогатель от United HealthGroup. Этот скриншот стал первым раскрытием информации о кошельке, на который 1 марта поступила транзакция в размере 350 биткоинов, предположительно являющаяся платой United HealthGroup за вымогательство.
ALPHV ответила на RAMP, заявив, что они решили «полностью закрыть проект» и что «мы можем официально заявить, что федералы нас обманули». Часть инфраструктуры ALPHV была конфискована ФБР и другими агентствами в декабре 2023 года, но группа вернула её часть и реконструировала объект по новому адресу.
По данным KELA, администраторы RAMP забанили ALPHV на форуме 6 марта, придя к выводу, что ALPHV обманул филиал.
В конечном счете, Notchy не совсем уникален, сказал Карстенс, назвав их «одним из многих весьма эффективных субъектов угроз, которые действуют в мире программ-вымогателей».
Группа вирусов-вымогателей ALPHV взяла на себя ответственность за атаку 21 февраля на Change Healthcare, платёжную систему, которая затрагивает данные каждой третьей американской истории болезни пациента. Атака на Change ограничила возможность аптек и поставщиков медицинских услуг получать платежи и создала серьёзную нагрузку на систему здравоохранения США.
Ранее в этом месяце специалисты по киберпреступности сообщили, что на биткоин-кошелек, связанный с предыдущими выкупами ALPHV, поступило 22 миллиона долларов , что породило предположения о том, что материнская компания Change, UnitedHealth Group, внесла свой вклад в выплату выкупа.
Теперь ALPHV, судя по всему, предпринимает шаги по дальнейшей сокрытию назначения этих средств.
По данным компании TRM Labs, занимающейся блокчейн-аналитикой, недавно средства были переведены из биткоин-кошельков, связанных с другими выкупами, выплаченными ALPHV, причем эти средства были переведены на несколько других адресов и через миксер — инструмент, используемый для сокрытия транзакций, которые можно отследить в публичном реестре.
«За последнюю неделю мы наблюдали рост активности по отмыванию денег», — сообщил CyberScoop в электронном письме Ари Редборд, руководитель отдела глобальной политики TRM Labs. Например, 27 марта TRM Labs зафиксировала, что 50 биткоинов — примерно 3,5 миллиона долларов — «перешли с кошельков, связанных с группировкой, на сервис микширования. Кроме того, в период с 22 по 27 марта мы наблюдали многочисленные снятия средств с кошельков, связанных с группой вымогателей, и их отправку на глобальную биржу».
ФБР отказалось комментировать ход расследования инцидента.
На фоне действий ALPHV по сокрытию средств, которые он, как сообщается, вымогал у UnitedHealth Group, инцидент остается окутанным безответными вопросами, в частности относительно дочерней компании-вымогателя, которая осуществила атаку на Change.
Группы, занимающиеся разработкой программ-вымогателей, такие как ALPHV, работают по партнёрской модели. Партнёры осуществляют атаки с использованием инструментов ALPHV в обмен на часть доходов от любых платежей. В инциденте Change партнёр под ником «notchy» заявил, что совершил атаку, но был отключён после уплаты выкупа.
В последние недели Notchy затих, обвинив ALPHV в мошенничестве. По словам Notchy, ALPHV так и не выплатила им свою долю от выплаты в размере 22 миллионов долларов от UnitedHealth. Вместо этого ALPHV закрыла их сайт и ложно заявила, что они стали жертвой операции правоохранительных органов.
После взлома Change компания Notchy заявила, что получила четыре терабайта данных, связанных с основными партнёрами компании, включая CVS Caremark и других. Представитель CVS Caremark сообщил CyberScoop, что компания осведомлена о «необоснованном заявлении», опубликованном в связи с атакой, но «на данный момент Change Healthcare не подтвердила, пострадала ли какая-либо хранящаяся у неё информация об участниках или пациентах, включая информацию CVS Health или CVS Caremark, от этого инцидента».
Среди других организаций, о которых Notchy заявила, что располагает данными, — Medicare, Tricare, Loomis, Davis Vision, Health Net, MetLife и Teachers Health Trust, а также «десятки страховых компаний и другие». Ни одна из них не ответила на запросы о комментариях.
Неясно, владеет ли notchy этими данными на самом деле, но, учитывая, что ALPHV обманом лишила его своей доли выгодного выкупа, эти данные могут представлять собой существенный актив.
Представитель UnitedHealth Group не ответил на вопросы CyberScoop о том, насколько компания понимает, что представляют собой какие-либо неразглашаемые данные. UnitedHealth Group «всё ещё определяет содержание данных, полученных злоумышленником», включая защищённую медицинскую информацию или персональные данные, сообщила компания в обновлении, опубликованном на её веб-сайте 27 марта. В среду представитель заявил, что эта публикация представляет собой «самую актуальную информацию», которой компания располагает.
Исследователи киберпреступности говорят, что они пока не видели, чтобы данные предлагались к продаже, но сразу после атаки notchy опубликовал сообщение с предложением сотрудничать с людьми, которые могли бы продолжать совершать атаки, но вскоре закрыл эту ветку.
«Я думаю, что на данный момент это скорее ситуация, когда нужно затаиться», — сказал Гаррет Карстенс, вице-президент по разведывательным операциям в Intel 471.
По словам Карстенса, если Notchy или любой другой злоумышленник действительно обладает заявляемыми данными, главная проблема заключается в том, что их можно использовать для атаки на другие сети. Notchy — эффективный злоумышленник, добавил он, поскольку анализ Intel 471 показывает, что группа могла взламывать новые сети со скоростью около «десятка в неделю» примерно во время атаки на Change Healthcare.
О никнейме notchy известно относительно мало, но, возможно, им владеет несколько человек, поскольку он использует местоимения во множественном числе при обращении к себе. Имя пользователя было впервые зарегистрировано на русскоязычном форуме RAMP в декабре 2021 года, но первая публикация состоялась в августе 2022 года, и, по данным компании KELA, занимающейся кибербезопасностью, было опубликовано всего 11 раз .
Notchy, возможно, связан как минимум с двумя другими никами на другом форуме, посвящённом киберпреступности, Exploit. Эти два ника, в свою очередь, могут быть связаны как минимум с одним ником в Telegram, который был активен в англо- и русскоязычных каналах, связанных с мошенничеством с кредитными картами и вредоносным ПО для кражи информации, сообщает KELA.
Согласно журналам чатов Telegram, предоставленным компанией Unit 221B, занимающейся кибербезопасностью, в мае 2022 года удаленный ник Telegram, возможно, связанный с notchy, разместил сообщение на торговой площадке для украденных учетных данных, спрашивая о наличии учетных данных виртуальной частной сети «только для США», связанных с приложениями для удаленного рабочего стола, — вероятное указание на методы и типы целей, представляющих интерес для персоны notchy.
Учётные данные часто похищаются с помощью вредоносных программ для кражи информации, которые собирают персональные данные из метаданных браузера жертвы. Например, в период с 1 июля 2021 года по 30 июня 2022 года исследователи Group-IB обнаружили , что на различных форумах было выставлено на продажу 96 миллионов журналов, 80% из которых принадлежали пользователям из США.
По словам Карстенса, Notchy обычно пишет на английском, но, вероятно, понимает и русский. Кроме того, похоже, Notchy предпочитает вести дела преимущественно по московскому времени, но Карстенс предостерёг от придания этому факту слишком большого значения.
В подтверждение своих заявлений о мошенничестве со стороны ALPHV, Notchy опубликовал скриншоты переписки с администраторами ALPHV на платформе обмена сообщениями Tox, а также ссылку на криптовалютный кошелёк, на который, как предполагается, был отправлен вымогатель от United HealthGroup. Этот скриншот стал первым раскрытием информации о кошельке, на который 1 марта поступила транзакция в размере 350 биткоинов, предположительно являющаяся платой United HealthGroup за вымогательство.
ALPHV ответила на RAMP, заявив, что они решили «полностью закрыть проект» и что «мы можем официально заявить, что федералы нас обманули». Часть инфраструктуры ALPHV была конфискована ФБР и другими агентствами в декабре 2023 года, но группа вернула её часть и реконструировала объект по новому адресу.
По данным KELA, администраторы RAMP забанили ALPHV на форуме 6 марта, придя к выводу, что ALPHV обманул филиал.
В конечном счете, Notchy не совсем уникален, сказал Карстенс, назвав их «одним из многих весьма эффективных субъектов угроз, которые действуют в мире программ-вымогателей».
