Новости ФБР разрушило империю ALPHV: агенты проникли в систему синдиката вымогателей

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Международная операция помогла жертвам сэкономить $68 млн, а конкурентам группы привлечь новых клиентов.


wntosf3or6iez3majxdaidjw7dg055oz.png


Министерство юстиции США Для просмотра ссылки Войди или Зарегистрируйся об успешном проникновении ФБР в инфраструктуру вымогательской группировки ALPHV (BlackCat). Операция позволила агентам следить за действиями хакеров и получить ключи для дешифровки данных.

Инцидент стал известен после того, как 7 декабря Для просмотра ссылки Войди или Зарегистрируйся . Администраторы ALPHV списали проблему на неполадки с хостингом, однако вскоре выяснилось, что причиной стала операция правоохранительных органов. Операцию проводили полицейские и следственные агентства из США, Европола, Дании, Германии, Великобритании, Нидерландов, Австралии, Испании и Австрии.

Согласно Для просмотра ссылки Войди или Зарегистрируйся суда, ключевой фактор успеха операции заключался в привлечении конфиденциального источника, который, откликнувшись на публичное объявление группы о наборе аффилированных лиц и, после собеседования с киберпреступниками, получил учетные данные для доступа к партнерской системе ALPHV в сети Tor . Получение доступа позволило полиции изучить и контролировать действия группы в сети.

ФБР, получив доступ к серверам группы, на протяжении нескольких месяцев вело наблюдение, параллельно изымая ключи Для просмотра ссылки Войди или Зарегистрируйся , что позволило восстановить данные около 500 жертвам программы-вымогателя, избежав выплаты выкупов на общую сумму около $68 млн.

В рамках операции ФБР также изъяло домен сайта утечки данных ALPHV, на котором теперь размещено уведомление о его конфискации. Захват сайта стал возможен после того, как ФБР получило ключи для доступа к скрытым сервисам Tor, под которыми работал сайт.


4jlgij6c9bo3j99f8ezjawnldhr5j7gj.png


Баннер на сайте ALPHV

Обнародованный ордер на обыск раскрывает, что правоохранительные органы получили доступ к сети BlackCat, идентифицировав и собрав 946 пар публичных и приватных ключей. Эти ключи использовались для управления сайтами общения с жертвами, площадками утечек данных и панелями партнеров (аффилиатов).

После нарушения работы серверов ALPHV доверие партнеров к группе снизилось – некоторые из них начали напрямую обращаться к жертвам через электронную почту, минуя платформу группы в сети Tor. Это связано с опасениями о том, что инфраструктура ALPHV могла быть скомпрометирована. Также стоит отметить, что вымогательская группировка LockBit восприняла ситуацию как возможность для расширения своей деятельности, предложив аффилиатам ALPHV присоединиться к ним.

С момента своего появления в августе 2020 года под названием DarkSide, группа неоднократно меняла свои имена и тактику в ответ на действия правоохранительных органов. После атаки на Colonial Pipeline в мае 2021 года группа была вынуждена прекратить свою деятельность, но вскоре возобновила её под именем BlackMatter. Однако и в этот раз группе пришлось отступить после того, как Emsisoft нашла уязвимость для создания дешифратора, и серверы группы были захвачены.

С ноября 2021 года группа действовала под названием ALPHV/BlackCat, постоянно совершенствуя свои методы вымогательства. Вероятно, после этой операции правоохранительных органов группа снова попытается изменить свое имя и стратегию.
 
Источник новости
www.securitylab.ru

Похожие темы