Os atores da prenúncio por trás do ransomware BlackCat fecharam seu site darknet e provavelmente aplicaram um esquema de saída em seguida enviar um banner falso de mortificação policial.
“ALPHV/BlackCat não foi apreendido. Eles estão enganando seus afiliados”, disse o pesquisador de segurança Fabian Wosar disse. “É flagrantemente óbvio quando você verifica o código-fonte do novo aviso de remoção.”
“Não há absolutamente nenhuma razão para que a emprego da lei simplesmente coloque uma versão salva do aviso de remoção durante uma mortificação, em vez do aviso de remoção original.”
A Dependência Pátrio do Transgressão (NCA) do Reino Uno disse à Reuters que não tinha relação com quaisquer interrupções na infraestrutura do BlackCat.
O porvir pesquisador de segurança registrado, Dmitry Smilyanets postou capturas de tela na plataforma de mídia social X nas quais os atores do BlackCat alegaram que os “federais nos ferraram” e que pretendiam vender o código-fonte do ransomware por US$ 5 milhões.
O ato de desaparecimento ocorre depois que ele supostamente recebeu um pagamento de resgate de US$ 22 milhões da unidade Change Healthcare (Optum) da UnitedHealth e se recusou a compartilhar os lucros com uma afiliada que executou o ataque.
A empresa não comentou o suposto pagamento do resgate, afirmando que está focada exclusivamente nos aspectos de investigação e recuperação do incidente.
Segundo o DataBreaches, o afiliado insatisfeito – que teve sua conta suspensa pela equipe administrativa – fez as denúncias no fórum de crimes cibernéticos RAMP. “Eles esvaziaram a carteira e levaram todo o moeda”, disseram.
Isso levantou especulações de que a BlackCat encenou um esquema de saída para evadir do escrutínio e ressurgir no porvir sob uma novidade marca. “Uma reformulação da marca está pênsil”, disse um ex-administrador do grupo de ransomware.
A BlackCat teve sua infraestrutura apreendida pelas autoridades em dezembro de 2023, mas a gangue do delito eletrônico conseguiu assumir o controle de seus servidores e reiniciar suas operações sem maiores consequências. O grupo operava anteriormente sob os nomes DarkSide e BlackMatter.
“Internamente, a BlackCat pode estar preocupada com toupeiras dentro de seu grupo, e fechar a loja preventivamente pode impedir uma remoção antes que ela ocorra”, disse Malachi Walker, consultor de segurança da DomainTools.
“Por outro lado, esse esquema de saída pode ser simplesmente uma oportunidade para a BlackCat pegar o moeda e fugir. Porquê a criptografia está mais uma vez em subida, a gangue pode se safar vendendo seu resultado em subida. No mundo do delito cibernético, a reputação é tudo, e a BlackCat parece estar queimando pontes com suas afiliadas com essas ações.”
O aparente desaparecimento do grupo e o desabrigo de sua infraestrutura ocorrem quando o grupo de pesquisa de malware VX-Underground relatado que a operação do ransomware LockBit não oferece mais suporte ao Lockbit Red (também publicado uma vez que Lockbit 2.0) e ao StealBit, uma utensílio personalizada usada pelo agente da prenúncio para exfiltração de dados.
A LockBit também tentou salvar sua aspecto, transferindo algumas de suas atividades para um novo portal dark web depois que uma operação coordenada de emprego da lei derrubou sua infraestrutura no mês pretérito, em seguida uma investigação de meses de duração.
Também ocorre no momento em que a Trend Micro revela que a família de ransomware conhecida uma vez que RA World (anteriormente RA Group) se infiltrou com sucesso em empresas de saúde, finanças e seguros nos EUA, Alemanha, Índia, Taiwan e outros países desde seu surgimento em abril de 2023.
Os ataques montados pelo grupo “envolvem componentes de vários estágios projetados para prometer o sumo impacto e sucesso nas operações do grupo”, observou a empresa de segurança cibernética.
