執法機構利用機密線人和自行開發的解密工具,搗毀了臭名昭著的Alphv/BlackCat勒索軟體網站。
在美國時間周二(12/19)的新聞稿中,美國司法部 (DOJ) 宣布取締了由 FBI 主導、歐洲刑警組織以及德國、丹麥、澳洲、西班牙、英國、奧地利和瑞士當局參與的瓦解Alphv /BlackCat 行動。在瓦解的過程中,FBI在一名線人的幫助下查封了多個勒索軟體經營的網站,並開發了一種解密工具來幫助受影響的受害者。
根據美國司法部的新聞稿,在過去 18 個月中,根據全球受害者支付的數億美元贖金,ALPHV/Blackcat 已成為全球第二多產的勒索軟體即服務變種。受害者範圍從政府實體和醫療機構到學校、國防工業基地公司和關鍵製造設施,估計已針對超過 1,000 名受害者。該網路犯罪組織最近的兩個受害者包括高梅國際酒店集團(MGM Resorts International)和Henry Schein漢瑞祥。該醫療保健巨頭在短短一個月內遭受了兩次Alphv/BlackCat 攻擊。為了取締這些網站,聯邦調查局聘請了一名線人。
根據週二啟封的搜索令,線人通過回答幾個能展示精通技術的問題,成為BlackCat的成員並獲得了存取,隨後將憑證移交給聯邦調查局。12 月 11 日,FBI向佛羅裡達州南區提交的搜查令並披露了利用特權取所發現的情況。FBI表示在調查過程中,執法部門已了解到 BlackCat 勒索軟體集團的網路。FBI 識別並收集了 946 個 Tor 站點的公鑰/私鑰,據了解BlackCat勒索軟體組織使用這些站點來託管受害者通信、洩密數據和成員使用的Dashboard等。據從Dashboard中,附屬成員可以看到受害者實體、要求的全額贖金價格、折扣贖金價格、到期日期、加密貨幣地址、加密貨幣交易、受感染的電腦系統類型、贖金要求單、與受害者的聊天等等,這些功能使BlackCat成員能夠在整個談判過程中與受害者互動。
FBI透露,除了查封 BlackCat 經營的網站外,它還開發了一種解密工具,幫助 BlackCat 受害者從攻擊中恢復,而無需支付贖金。該工具已向全球 500 多名受影響的受害者提供,聯邦調查局表示,到目前為止,它已與數十名美國和國際受害者合作。
美國司法部估計,它為受害者節省了 6800 萬美元的贖金要求,司法部副部長Lisa Monaco在新聞稿中發表聲明稱,在瓦解 BlackCat 勒索軟體組織的過程中,司法部再次對駭客進行了攻擊,並透過聯邦調查局向全球數百名勒索軟體受害者提供了解密工具,使企業和學校能夠重新開放,醫療保健和緊急服務能夠恢復線上。我們將繼續優先考慮破壞行為,並將受害者置於我們摧毀助長網路犯罪生態系統的戰略中。
查封或關閉線上基礎設施通常是阻止勒索軟體團夥運作的短期解決方案,美國在這次行動中未宣布逮捕任何人,這可能是因為許多BlackCat成員都位於俄羅斯,而俄羅斯拒絕將犯罪嫌疑人引渡到美國。
然而,根據資安研究社群VX underground,ALPHV/BlackCat已聯繫他們,且通知他們已轉移其伺服器和部落格,故此次打擊行動的有效性仍有待觀察。