Çıkış Dolandırıcılığı: BlackCat Ransomware Group, 22 Milyon Dolarlık Ödemeden Sonra Ortadan Kayboldu
BlackCat fidye yazılımının arkasındaki tehdit aktörleri, darknet web sitelerini kapattı ve sahte bir kolluk kuvveti el koyma afişi yükledikten sonra muhtemelen bir çıkış dolandırıcılığı yaptı.
"ALPHV/BlackCat ele geçirilmedi. Güvenlik araştırmacısı Fabian Wosar, "Bağlı kuruluşlarını dolandırıyorlar" dedi. "Yeni yayından kaldırma bildiriminin kaynak kodunu kontrol ettiğinizde bariz bir şekilde açıktır."
"Kolluk kuvvetlerinin, bir el koyma sırasında orijinal yayından kaldırma bildirimi yerine yayından kaldırma bildiriminin kaydedilmiş bir versiyonunu koyması için kesinlikle hiçbir neden yok."
İngiltere Ulusal Suç Ajansı (NCA), Reuters'e yaptığı açıklamada, BlackCat altyapısındaki herhangi bir kesintiyle bağlantısı olmadığını söyledi.
Recorded Future güvenlik araştırmacısı Dmitry Smilyanets, BlackCat aktörlerinin "federallerin bizi mahvettiğini" ve fidye yazılımının kaynak kodunu 5 milyon dolara satmayı planladıklarını iddia ettikleri sosyal medya platformu X'te ekran görüntüleri yayınladı.
Ortadan kaybolma eylemi, UnitedHealth'in Change Healthcare biriminden (Optum) 22 milyon dolarlık bir fidye ödemesi aldığı ve gelirleri saldırıyı gerçekleştiren bir bağlı kuruluşla paylaşmayı reddettiği iddia edildikten sonra geldi.
Şirket, iddia edilen fidye ödemesi hakkında yorum yapmadı, bunun yerine olayın yalnızca soruşturma ve kurtarma yönlerine odaklandığını belirtti.
DataBreaches'e göre, hesabı idari personel tarafından askıya alınan hoşnutsuz bağlı kuruluş, iddiaları RAMP siber suç forumunda yaptı. "Cüzdanı boşalttılar ve tüm parayı aldılar" dediler.
Bu, BlackCat'in incelemeden kaçmak ve gelecekte yeni bir marka altında yeniden ortaya çıkmak için bir çıkış dolandırıcılığı düzenlediğine dair spekülasyonları artırdı. Fidye yazılımı grubunun eski bir yöneticisinin "Yeniden markalaşma beklemede" dediği aktarıldı.
Menlo Security, bağlı kuruluşla doğrudan teması olan HUMINT kaynaklarına atıfta bulunarak, onları muhtemelen Çin ulus devlet gruplarıyla ilişkili olarak nitelendirdi. Notchy adını kullanan bağlı kuruluşun, 2021 gibi erken bir tarihte RAMP forumunda fidye yazılımıyla ilgili konularla ilgilendiği söyleniyor.
BlackCat'in altyapısına Aralık 2023'te kolluk kuvvetleri tarafından el konuldu, ancak e-suç çetesi, sunucularının kontrolünü ele geçirmeyi ve herhangi bir önemli sonuç olmadan operasyonlarını yeniden başlatmayı başardı. Grup daha önce DarkSide ve BlackMatter takma adları altında faaliyet gösteriyordu.
DomainTools'ta bir güvenlik danışmanı olan Malachi Walker, "Dahili olarak, BlackCat gruplarındaki köstebekler konusunda endişeli olabilir ve mağazayı önleyici olarak kapatmak, bir yayından kaldırmayı gerçekleşmeden önce durdurabilir" dedi.
"Öte yandan, bu çıkış dolandırıcılığı, BlackCat'in parayı alıp kaçması için bir fırsat olabilir. Kripto bir kez daha tüm zamanların en yüksek seviyesinde olduğundan, çete ürünlerini 'yüksekten' satarak paçayı sıyırabilir. Siber suç dünyasında itibar her şeydir ve BlackCat bu eylemlerle bağlı kuruluşlarıyla köprüleri yakıyor gibi görünüyor."
Grubun bariz ölümü ve altyapısının terk edilmesi, kötü amaçlı yazılım araştırma grubu VX-Underground'un LockBit fidye yazılımı operasyonunun artık Lockbit Red'i (diğer adıyla Lockbit 2.0) ve tehdit aktörü tarafından veri hırsızlığı için kullanılan özel bir araç olan StealBit'i desteklemediğini bildirmesiyle geldi.
LockBit ayrıca, aylarca süren bir soruşturmanın ardından geçen ay koordineli bir kolluk kuvveti operasyonunun altyapısını çökertmesinin ardından bazı faaliyetlerini yeni bir karanlık web portalına taşıyarak itibarını kurtarmaya çalıştı.
Ayrıca Trend Micro, RA World (eski adıyla RA Group) olarak bilinen fidye yazılımı ailesinin Nisan 2023'te ortaya çıkmasından bu yana ABD, Almanya, Hindistan, Tayvan ve diğer ülkelerdeki sağlık, finans ve sigorta şirketlerine başarıyla sızdığını açıkladı.
Siber güvenlik firması, grup tarafından düzenlenen saldırıların "grubun operasyonlarında maksimum etki ve başarı sağlamak için tasarlanmış çok aşamalı bileşenleri içerdiğini" belirtti.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı