BlackCat-ransomware is dood, Gratis decoderingssleutel vrijgegeven

de U.S.. Justitie (DoJ) heeft de beruchte officieel ontmanteld BlackCat-ransomware-operatie, het presenteren van een decoderingstool aan meer dan 500 slachtoffers om hun bestanden te herstellen die zijn gecodeerd door de schadelijke software. Uit gerechtelijke documenten blijkt dat de VS. Federal Bureau of Investigation (FBI) maakte gebruik van een vertrouwelijke menselijke bron (CHS) om op te treden als affiliate voor BlackCat, het infiltreren van het webpaneel van de bende dat wordt gebruikt om slachtoffers te beheren - een ongekend geval van het hacken van de hackers.

Gezamenlijke wetshandhavingsinspanningen maken einde aan BlackCat

De samenwerking strekte zich over de grenzen heen uit, met wetshandhavingsinstanties uit de VS, Duitsland, Denemarken, Australië, het VK., Spanje, Zwitserland, en Oostenrijk bundelen hun krachten om de mondiale dreiging te bestrijden. Zwarte kat, ook bekend als ALPHV, GOUDEN BLAZER, en Noberus, december verscheen 2021, snel stijgend tot de op een na meest productieve ransomware-as-a-service variant wereldwijd, volgend LockBit. Opmerkelijk, het was de eerste verschijning van een op Rust-taal gebaseerde ransomware-variant in het wild.

Speculaties over een wetshandhavingsactie kwamen in een stroomversnelling toen BlackCat's dark web-lekportaal in december offline ging 7, om vijf dagen later weer boven te komen met een eenzaam slachtoffer. De FBI, samenwerken met talrijke VS. slachtoffers, met succes de decryptor geïmplementeerd, het tegenwerken van losgeldeisen van in totaal ongeveer $68 miljoen. Bovendien, het bureau kreeg inzicht in het netwerk van de ransomware, verzamelen 946 openbare/private sleutelparen die worden gebruikt voor het hosten van TOR-sites die door de groep worden beheerd, leidend tot hun ontmanteling.

Een cruciaal aspect van de operatie is de onthulling van de unieke sleutelparen die worden gegenereerd bij het creëren van een verborgen dienst op het TOR-anonimiseringsnetwerk. Zwarte kat, zoals andere ransomwaregroepen, maakte gebruik van een ransomware-as-a-service-model met kernontwikkelaars en aangesloten bedrijven. Deze aangesloten bedrijven, verantwoordelijk voor het identificeren en targeten van waardevolle slachtoffers, verschillende methoden gebruikt, inclusief gecompromitteerde gebruikersreferenties, voor initiële toegang.

Onder de BlackCat-slachtoffers bevinden zich meer dan 1,000

Financieel gemotiveerd, Er wordt geschat dat BlackCat een compromis heeft gesloten 1,000 slachtoffers wereldwijd, het verzamelen van illegale inkomsten nadert $300 miljoen per september 2023. Na de verwijdering, rivaliserende groepen als LockBit grepen de kans, actief rekruteren van ontheemde leden en het aanbieden van hun dataleksite voor slachtofferonderhandelingen.

Als reactie op het harde optreden, een woordvoerder van BlackCat beweerde dat de groep servers en blogs had verplaatst, de toegang van wetshandhavers wordt afgedaan als beperkt tot een verouderde sleutel voor een oude blogsite. Ondanks dit, de tussenkomst van de FBI veroorzaakte een reeks gebeurtenissen, de groep daartoe aanzetten “losmaken” de belangrijkste leklocatie met behulp van cryptografische sleutels, groen licht geven aan filialen om kritieke infrastructuur te infiltreren, en het uitvaardigen van vergeldingsmaatregelen tegen het Gemenebest van Onafhankelijke Staten (CIS). De FBI, echter, snel opnieuw beslag gelegd op de website.

Reflecteren op de situatie, een LockBit-beheerder erkende de ongelukkige omstandigheden, waarbij de gaten in de beveiliging worden benadrukt als een primaire bedreiging voor hun bedrijf.