Преступная хакерская группировка, взявшая на себя ответственность за разрушительную атаку вируса-вымогателя на Change Healthcare — инцидент, который потряс американских поставщиков медицинских услуг и грозит некоторым из них финансовым крахом , — закрыла свой веб-сайт, опубликовав, по всей видимости, поддельное уведомление правоохранительных органов об удалении и заявив, что продаст свой исходный код.
Группа, известная также как ALPHV или BlackCat, опубликовала поддельное уведомление об изъятии в какой-то момент между поздним вечером понедельника и ранним утром вторника после сообщений о том, что она получила выкуп от Change Healthcare, а затем отказалась передать его своему филиалу, осуществившему атаку.
В сообщении на подпольном криминальном форуме в воскресенье человек, утверждающий, что является членом ALPHV — группы, осуществляющей атаки с использованием программ-вымогателей в обмен на долю от любых платежей, — заявил, что материнская компания Change Healthcare выплатила выкуп в размере 22 миллионов долларов. Согласно скриншоту сообщения, представленному аналитиком Recorded Future Дмитрием Смилянцем, вместо того, чтобы разделить полученные средства, администраторы ALPHV забрали их себе.
Во вторник администратор ALPHV заявил, что группа «решила полностью закрыть проект», потому что «федералы нас обманули», согласно скриншоту поста, которым поделился Смилянец.
Примерно в то же время ALPHV разместила, по всей видимости, поддельное уведомление о конфискации, а в сообщении в мессенджере, используемом группировкой, она сообщила, что продает свой исходный код за 5 миллионов долларов.
Исследователи киберпреступности в целом согласны с тем, что уведомление ФБР об изъятии почти наверняка поддельное и, по всей видимости, было скопировано из предыдущего изъятия инфраструктуры, связанной с ALPHV. Исследователи указывают на несколько факторов, подтверждающих этот вывод, включая несоответствие исходного HTML-кода подлинным уведомлениям об изъятии, совпадение публикации с утверждениями о том, что администраторы ALPHV обманули одного из своих филиалов, и тот факт, что по крайней мере одно из правоохранительных органов, указанных в уведомлении об удалении — Национальное агентство по борьбе с преступностью Великобритании — отрицает свою причастность.
Администраторы ALPHV не ответили на запрос CyberScoop о комментариях во вторник.
Представитель Change Healthcare не ответил на вопросы о предполагаемом платеже в размере 22 миллионов долларов в понедельник вечером. «Мы по-прежнему сосредоточены на расследовании и восстановлении нашей деятельности», — сообщил представитель в электронном письме.
Тем временем Министерство здравоохранения и социальных служб США во вторник заявило, что предпринимает шаги по упрощению обработки платежей и других мер финансовой поддержки для поддержки поставщиков медицинских услуг, многие из которых сталкиваются с проблемами денежного потока из-за продолжающихся атак программ-вымогателей.
CyberScoop не смог подтвердить, что Change Healthcare осуществила платёж, о чём стало известно из сообщения на форуме от разгневанного представителя ALPHV. В сообщении упоминался криптовалютный кошелёк, на который 1 марта поступил платёж в размере около 350 биткойнов (около 22,7 миллиона долларов), который затем был разделён поровну между семью другими счётами. Исследователи киберпреступности связали кошелёк, на который поступил платёж в размере 350 биткойнов, с предыдущими операциями ALPHV.
Исследователи киберпреступности заявили, что, принимая оплату и закрываясь, ALPHV, по всей видимости, реализует классическую схему «выход из игры». Исследователи предупреждают, что ALPHV/BlackCat, вероятно, проведёт ребрендинг и вновь появится в ближайшем будущем, как это уже случалось ранее.
В конце прошлого года ФБР провело операцию по пресечению деятельности ALPHV, но группировка немедленно возобновила свою деятельность. Уилл Томас, исследователь киберпреступности и инструктор SANS, заявил, что филиалы ALPHV, вероятно, потеряли миллионы долларов из-за операций по дешифрованию, проведенных правоохранительными органами в рамках этой операции, и неудивительно, что они решили прекратить свою деятельность.
«Но поскольку эта группа представляет собой ребрендинг, корни которого можно проследить и до DarkSide, и до BlackMatter, не будет сюрпризом, если они вернутся снова в не столь отдаленном будущем», — сказал Томас.
В интервью блогу о киберпреступности Databreaches.net «теперь уже бывший» администратор ALPHV сообщил, что они также были заблокированы от инфраструктуры ALPHV, и «подтвердил, что администратор(ы) украли средства партнёра, а также подтвердил, что Change Healthcare получила дешифратор после оплаты». Бывший администратор также сказал, что ребрендинг «ожидается».
Фабиан Восар, исследователь программ-вымогателей из Emsisoft, в серии постов на социальной платформе X описал, насколько «очевидно» было, что группа «выводит из игры» своих партнёров, используя поддельное уведомление о конфискации правоохранительными органами. Восар указал на исходный HTML-код на сайте, который, судя по всему, был скопирован с сайта, где был действительно конфискован компьютер.
Уведомление идентично тому, которое было размещено на старом сайте ALPHV в декабре после операции ФБР по пресечению ее деятельности.
Явно поддельное уведомление об изъятии, размещенное на сайте ALPHV/BlackCat (CyberScoop).
Представитель Министерства юстиции сообщил CyberScoop во вторник вечером, что «это не было официальным действием правоохранительных органов США».
ФБР во вторник не ответило на многочисленные запросы о комментариях. Национальное агентство по борьбе с преступностью Великобритании сообщило агентству Reuters , что не причастно к каким-либо сбоям в работе инфраструктуры ALPHV.
Если информация о выкупе в размере 22 миллионов долларов подтвердится, это может спровоцировать дальнейшие атаки на сектор здравоохранения. «Мы видели это в случае с журналами чатов Conti, где они определили определённые секторы, которые с большей вероятностью готовы заплатить», — рассказал CyberScoop в онлайн-чате Куртис Миндер, соучредитель и генеральный директор GroupSense, а также давний переговорщик по вопросам программ-вымогателей, имея в виду утекшие внутренние документы и переписку группы вымогателей Conti, в которых описывалось, как они будут атаковать отрасли, уже выплачивающие выкупы.
Но Миндер сказал, что с пониманием относится к руководителям, которые решили платить выкуп. «Во многих случаях, если они не платят или платят быстро, они прекращают свою деятельность или страдают люди».
Амир Садон, директор отдела исследований реагирования на инциденты компании Sygnia, сообщил CyberScoop, что в данном случае пока не ясно, что произошло между группировкой и ее филиалами, какова была роль правоохранительных органов и действительно ли группа закрывается.
Учитывая неопределенность, Change Healthcare может получить кратковременное облегчение в виде расшифровки своих данных, но это не значит, что угроза миновала.
«В большинстве случаев, как только вы заплатите выкуп, у вас будет некая гарантия того, что группа, которая на вас напала, выполнит свою часть сделки, но, очевидно, вы никогда не можете быть в этом уверены, когда имеете дело с преступниками», — сказал Садон, опубликовавший во вторник анализ реагирования на инцидент Sygnia 2023 года, связанный с атакой ALPHV/BlackCat.
В конечном счете, непредсказуемые события вокруг ALPHV в последние дни подчеркивают природу этого сегмента преступного мира киберпреступности, считает Бретт Кэллоу, аналитик угроз компании Emsisoft.
«Иногда говорят, что банды организованы как законный бизнес, но это показывает хаос, царящий внутри экосистемы, — сказал он. — Преступники обманывают преступников».
Группа, известная также как ALPHV или BlackCat, опубликовала поддельное уведомление об изъятии в какой-то момент между поздним вечером понедельника и ранним утром вторника после сообщений о том, что она получила выкуп от Change Healthcare, а затем отказалась передать его своему филиалу, осуществившему атаку.
В сообщении на подпольном криминальном форуме в воскресенье человек, утверждающий, что является членом ALPHV — группы, осуществляющей атаки с использованием программ-вымогателей в обмен на долю от любых платежей, — заявил, что материнская компания Change Healthcare выплатила выкуп в размере 22 миллионов долларов. Согласно скриншоту сообщения, представленному аналитиком Recorded Future Дмитрием Смилянцем, вместо того, чтобы разделить полученные средства, администраторы ALPHV забрали их себе.
Во вторник администратор ALPHV заявил, что группа «решила полностью закрыть проект», потому что «федералы нас обманули», согласно скриншоту поста, которым поделился Смилянец.
Примерно в то же время ALPHV разместила, по всей видимости, поддельное уведомление о конфискации, а в сообщении в мессенджере, используемом группировкой, она сообщила, что продает свой исходный код за 5 миллионов долларов.
Исследователи киберпреступности в целом согласны с тем, что уведомление ФБР об изъятии почти наверняка поддельное и, по всей видимости, было скопировано из предыдущего изъятия инфраструктуры, связанной с ALPHV. Исследователи указывают на несколько факторов, подтверждающих этот вывод, включая несоответствие исходного HTML-кода подлинным уведомлениям об изъятии, совпадение публикации с утверждениями о том, что администраторы ALPHV обманули одного из своих филиалов, и тот факт, что по крайней мере одно из правоохранительных органов, указанных в уведомлении об удалении — Национальное агентство по борьбе с преступностью Великобритании — отрицает свою причастность.
Администраторы ALPHV не ответили на запрос CyberScoop о комментариях во вторник.
Представитель Change Healthcare не ответил на вопросы о предполагаемом платеже в размере 22 миллионов долларов в понедельник вечером. «Мы по-прежнему сосредоточены на расследовании и восстановлении нашей деятельности», — сообщил представитель в электронном письме.
Тем временем Министерство здравоохранения и социальных служб США во вторник заявило, что предпринимает шаги по упрощению обработки платежей и других мер финансовой поддержки для поддержки поставщиков медицинских услуг, многие из которых сталкиваются с проблемами денежного потока из-за продолжающихся атак программ-вымогателей.
CyberScoop не смог подтвердить, что Change Healthcare осуществила платёж, о чём стало известно из сообщения на форуме от разгневанного представителя ALPHV. В сообщении упоминался криптовалютный кошелёк, на который 1 марта поступил платёж в размере около 350 биткойнов (около 22,7 миллиона долларов), который затем был разделён поровну между семью другими счётами. Исследователи киберпреступности связали кошелёк, на который поступил платёж в размере 350 биткойнов, с предыдущими операциями ALPHV.
Исследователи киберпреступности заявили, что, принимая оплату и закрываясь, ALPHV, по всей видимости, реализует классическую схему «выход из игры». Исследователи предупреждают, что ALPHV/BlackCat, вероятно, проведёт ребрендинг и вновь появится в ближайшем будущем, как это уже случалось ранее.
В конце прошлого года ФБР провело операцию по пресечению деятельности ALPHV, но группировка немедленно возобновила свою деятельность. Уилл Томас, исследователь киберпреступности и инструктор SANS, заявил, что филиалы ALPHV, вероятно, потеряли миллионы долларов из-за операций по дешифрованию, проведенных правоохранительными органами в рамках этой операции, и неудивительно, что они решили прекратить свою деятельность.
«Но поскольку эта группа представляет собой ребрендинг, корни которого можно проследить и до DarkSide, и до BlackMatter, не будет сюрпризом, если они вернутся снова в не столь отдаленном будущем», — сказал Томас.
В интервью блогу о киберпреступности Databreaches.net «теперь уже бывший» администратор ALPHV сообщил, что они также были заблокированы от инфраструктуры ALPHV, и «подтвердил, что администратор(ы) украли средства партнёра, а также подтвердил, что Change Healthcare получила дешифратор после оплаты». Бывший администратор также сказал, что ребрендинг «ожидается».
Фабиан Восар, исследователь программ-вымогателей из Emsisoft, в серии постов на социальной платформе X описал, насколько «очевидно» было, что группа «выводит из игры» своих партнёров, используя поддельное уведомление о конфискации правоохранительными органами. Восар указал на исходный HTML-код на сайте, который, судя по всему, был скопирован с сайта, где был действительно конфискован компьютер.
Уведомление идентично тому, которое было размещено на старом сайте ALPHV в декабре после операции ФБР по пресечению ее деятельности.
Представитель Министерства юстиции сообщил CyberScoop во вторник вечером, что «это не было официальным действием правоохранительных органов США».
ФБР во вторник не ответило на многочисленные запросы о комментариях. Национальное агентство по борьбе с преступностью Великобритании сообщило агентству Reuters , что не причастно к каким-либо сбоям в работе инфраструктуры ALPHV.
Если информация о выкупе в размере 22 миллионов долларов подтвердится, это может спровоцировать дальнейшие атаки на сектор здравоохранения. «Мы видели это в случае с журналами чатов Conti, где они определили определённые секторы, которые с большей вероятностью готовы заплатить», — рассказал CyberScoop в онлайн-чате Куртис Миндер, соучредитель и генеральный директор GroupSense, а также давний переговорщик по вопросам программ-вымогателей, имея в виду утекшие внутренние документы и переписку группы вымогателей Conti, в которых описывалось, как они будут атаковать отрасли, уже выплачивающие выкупы.
Но Миндер сказал, что с пониманием относится к руководителям, которые решили платить выкуп. «Во многих случаях, если они не платят или платят быстро, они прекращают свою деятельность или страдают люди».
Амир Садон, директор отдела исследований реагирования на инциденты компании Sygnia, сообщил CyberScoop, что в данном случае пока не ясно, что произошло между группировкой и ее филиалами, какова была роль правоохранительных органов и действительно ли группа закрывается.
Учитывая неопределенность, Change Healthcare может получить кратковременное облегчение в виде расшифровки своих данных, но это не значит, что угроза миновала.
«В большинстве случаев, как только вы заплатите выкуп, у вас будет некая гарантия того, что группа, которая на вас напала, выполнит свою часть сделки, но, очевидно, вы никогда не можете быть в этом уверены, когда имеете дело с преступниками», — сказал Садон, опубликовавший во вторник анализ реагирования на инцидент Sygnia 2023 года, связанный с атакой ALPHV/BlackCat.
В конечном счете, непредсказуемые события вокруг ALPHV в последние дни подчеркивают природу этого сегмента преступного мира киберпреступности, считает Бретт Кэллоу, аналитик угроз компании Emsisoft.
«Иногда говорят, что банды организованы как законный бизнес, но это показывает хаос, царящий внутри экосистемы, — сказал он. — Преступники обманывают преступников».
