O grupo de ransomware ALPHV/BlackCat encerrou seus servidores diante de alegações de que eles enganaram o afiliado responsável pelo ataque à Optum, operadora da plataforma Change Healthcare, de $22 milhões.
Embora o blog de vazamento de dados do BlackCat esteja fora do ar desde sexta-feira, a BleepingComputer confirmou que os sites de negociação ainda estavam ativos durante o fim de semana.
Hoje, a BleepingComputer confirmou que os sites de negociação das operações de ransomware também estão fechados, indicando uma nova interrupção deliberada da infraestrutura do grupo de ransomware.
Um breve status em russo na plataforma de mensagens que o agente de ameaças de ransomware usa para comunicação afirma que eles decidiram desligar tudo.
Não está claro se isso é uma saída de golpe ou uma tentativa de renomear a operação com um nome diferente.
A Change Healthcare é uma plataforma de troca de pagamentos que conecta médicos, farmácias, provedores de saúde e pacientes no sistema de saúde dos EUA.
Mais cedo hoje, a plataforma de mensagens Tox, usada pelo operador de ransomware BlackCat, continha uma mensagem que não fornecia detalhes sobre os próximos passos do grupo: “Все выключено, решаем”, que se traduz como "Tudo está desligado, estamos decidindo".
Essa mensagem de status agora foi alterada para 'GG', que pode significar 'bom jogo'.
No entanto, o contexto desta mensagem não está claro.
Essa decisão pode estar relacionada a alegações de alguém que se descreve como um afiliado de longa data do ALPHV/BlackCat responsável pelo ataque à Optum, que disse que o ALPHV o baniu da operação e roubou um resgate de $22 milhões supostamente pago pela Optum pelo ataque à Change Healthcare.
Dmitry Smilyanets, da empresa de inteligência de ameaças Recorded Future, compartilhou a mensagem do suposto afiliado de ransomware, que afirmou que a Optum pagou ao ALPHV/BlackCat um resgate em 1º de março para excluir os dados roubados da plataforma Change Healthcare e receber um descriptografador.
As operações de ransomware como serviço (RaaS) normalmente funcionam em parceria com afiliados externos, que realizam ataques usando os criptografadores da operação.
Os resgates recebidos das vítimas são compartilhados entre os administradores do RaaS e o afiliado responsável pela violação e pelo implante do ransomware ou roubo de dados.
Neste caso, parece que o afiliado que roubou os dados da Change Healthcare foi enganado.
Eles afirmam que após a Optum pagar um resgate de $22 milhões, o ALPHV suspendeu a conta de seu parceiro e pegou todo o dinheiro da carteira.
Sob o nome de usuário “notchy”, o suposto afiliado do ALPH diz que ainda tem 4TB de “dados críticos” da Optum, descrevendo-os como “dados de produção que afetarão todos os clientes da Change Healthcare e da Optum”.
Eles alegam ter dados de “dezenas de empresas de seguro” e outros provedores de uma variedade de serviços, desde saúde até gestão de dinheiro, e farmácias.
Para provar sua alegação, Notchy compartilhou um endereço de pagamento de criptomoeda com um total de nove transações, uma transferência inicial de entrada de 350 bitcoins (pouco mais de $23 milhões) e oito saídas.
O endereço enviando o bitcoin tem apenas duas transações, uma recebendo 350 bitcoins e outra os enviando para a suposta carteira do ALPHV.
BleepingComputer entrou em contato com a empresa matriz da Optum, UnitedHealth Group, em relação às alegações de que pagaram um resgate e foi informado: "Estamos focados na investigação" e que nenhum comentário adicional está disponível.
Apesar de não estar claro qual direção o BlackCat está tomando, essa atividade pode indicar o início de um golpe de saída, onde as operações de ransomware roubam a criptomoeda de seus afiliados e, em seguida, encerram suas operações.
BlackCat é uma rebranding da operação de ransomware DarkSide, que também encerrou depois de afirmar que a aplicação da lei transferiu criptomoeda de suas carteiras.
Após a recente operação de cumprimento da lei que interrompeu os servidores do BlackCat, não seria surpreendente descobrir que eles fazem uma alegação semelhante se desligarem.
ALPHV/BlackCat começou em 2020 como DarkSide.
Um ano depois, o grupo atacou o Colonial Pipeline, levando ao pânico e interrupções de gás nos EUA.
A gangue de ransomware perdeu o acesso à sua infraestrutura logo após o ataque, alegando que seu provedor de hospedagem bloqueou o acesso aos servidores.
Naquela época, a gangue também disse que os fundos em seu servidor de pagamento desapareceram misteriosamente em uma conta desconhecida.
A operação de ransomware ressurgiu alguns meses depois como BlackMatter apenas para encerrar quatro meses depois, em novembro de 2021, devido à “pressão das autoridades”.
A gangue retomou as operações mais uma vez em fevereiro de 2022 sob o nome ALPHV/BlackCat e expandiu sua parceria para afiliados de língua inglesa.
No final do ano passado, o FBI anunciou que havia violado os servidores da gangue de ransomware, monitorou sua atividade e obteve chaves de descriptografia privadas que ajudaram mais de 400 vítimas a recuperar seus dados gratuitamente.
ALPHV restaurou sua infraestrutura, porém, e continuou violando empresas e vazando dados de vítimas que não pagaram um resgate.
No entanto, um rebranding pode ser iminente.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...