Het Amerikaanse ministerie van Justitie heeft een decryptietool uitgebracht om de beruchte ALPHV/BlackCat-ransomware onschadelijk te maken. De tool is ontwikkeld door de FBI en biedt meer dan 500 slachtoffers de mogelijkheid om weer bij de eigen data te komen. Echter stelt ALPHV/BlackCat dat de tool helemaal niet zo effectief is als het lijkt.
De FBI zou al tientallen organisaties uit de brand geholpen hebben met de tool. Daarmee stelt de overheidsdienst betalingen van ongeveer 68 miljoen dollar aan losgeld te hebben verijdeld. Daarnaast heeft de FBI een kijkje kunnen nemen in het netwerk van de criminele groep en zijn er meerdere websites uit de lucht gehaald.
Sluwe aanpak van doelwitten
ALPHV/BlackCat is niet alleen zeer actief (enkel LockBit 3.0 kent meer slachtoffers), maar gaat eveneens sluw om met doelwitten. Zo dreigde de bende met het nemen van juridische stappen omdat een doelwit niet tijdig het ontstane datalek zouden hebben gemeld aan de Amerikaanse autoriteiten. Ook was men verantwoordelijk voor bekende hacks op MGM-casino’s in Las Vegas en online platform Reddit.
De groep stond voorheen bekend onder verschillende namen, waaronder DarkSide (2020-21) en BlackMatter (juli-november 2021). In beide gevallen wisten de autoriteiten binnen te dringen, met een naamsverandering van de groep en een nieuwe ransomware-variant tot gevolg. BleepingComputer meldt dat de groep de afgelopen jaren een stuk agressiever is geworden, waardoor de autoriteiten sneller actie tegen de groep ondernemen.
Nu is het dus weer de beurt aan de FBI om de hackers te hacken, zoals Deputy Attorney General Lisa O. Monaco de operatie tegen de bende karakteriseert. “Met de decryptietool geleverd door de FBI aan honderden ransomware-slachtoffers wereldwijd, hebben bedrijven en scholen weer hun deuren kunnen openen en konden zorginstellingen en noodhulpdiensten weer online komen. We zullen disrupties [van ransomwarebendes, red.] prioriteit blijven geven en plaatsen slachtoffers centraal bij onze strategie om het ecosysteem dat cybercriminaliteit voedt te ontmantelen.”
Meerdere nationale politie-eenheden zijn tegelijkertijd bezig met onderzoeken tegen ALPHV/BlackCat, laat het Amerikaanse ministerie weten.
Volgens Steven Stone, Head of Rubrik Zero Labs, is de actie een voorbeeld van wat er mogelijk is door cybercriminaliteit te bestrijden door internationale samenwerking. “Zulke takedowns dwingen threat actors om zich van nieuwe namen te voorzien en om de technische infrastructuur volledig opnieuw op te bouwen, acties die belangrijke tijd en resources wegneemt van criminele operaties.” Hij haalt het voorbeeld aan van Qakbot, dat er drie maanden over deed om zich te herstellen na “Operation Duck Hunt.”
Lees ook: Qakbot: hoe de autoriteiten het grootste botnet ter wereld vernietigden
Nieuwe ransomware-variant nodig?
Opvallend is dat de criminele groep een door de FBI in beslag genomen website weer in de lucht hebben gekregen. Volgens ALPHV/BlackCat had de FBI enkel toegang tot een datacenter waarin de servers gehost werden. Sinds woensdag lijken de FBI en de bende continu achter elkaar de inhoud van de website te wijzigen, aangezien beide partijen een private key hebben om de URL in Tor te beheren. Volgens Stone is de claim van de ransomwaregroep niet wat het lijkt. “De claim van ALPHV dat ze de website hebben “unseized” laat een misverstand zien over de aard van .onion-adressen, die verbonden zijn met encryptie-keys in handen van sitebeheerders. De overheidscoalitie behoudt volledige controle over de leaksite van ALPHV en hun data.”
ALPHV/BlackCat stelt dat de FBI slechts 400 getroffen partijen kan helpen met de tool en dat 3000 andere organisaties hun keys hebben verloren en niet meer bij hun data zullen kunnen, ook niet na het betalen van losgeld. Daarnaast stelt de groep dat bendeleden voortaan elke organisatie buiten de voormalige Sovjet-Unie mogen aanvallen. Ook mogen deze lieden voortaan 90 procent van het losgeld houden.
Hoe dan ook zal de decryptietool een doorn in het oog zijn voor de bende, aangezien eerdere acties al hebben geleid tot naamsveranderingen en het voorkomen van losgeldbetalingen. Echter is het probleem dan niet geheel verholpen. De bedrijfsdata kan nog altijd in handen zijn van de hackers en gepubliceerd worden.
21 uur geleden
