Группа киберпреступников ALPHV/BlackCat, известная своими атаками программ-вымогателей, внезапно прекратила свою деятельность, что вызвало массу спекуляций в сети. События развернулись после обвинений представителей группировки в мошенничестве по отношению к аффилированному лицу, ответственному за атаку на оператора платформы Change Healthcare – компанию Optum.
Блог утечки данных BlackCat внезапно стал недоступен, начиная с 1 марта, когда как сайты для переговоров о выкупе продолжали работать в течение выходных. Однако позднее было подтверждено, что и сайты для переговоров также прекратили свою работу.
На платформе для обмена сообщениями Tox, которую использовали киберпреступники, появилось короткое сообщение “Всё выключено, решаем”. Пока до конца не ясно, что именно решали представители группировки, был ли это какой-то технический сбой или преднамеренное отключение инфраструктуры.
Change Healthcare – это платформа для обмена платежами, связывающая врачей, аптеки, поставщиков медицинских услуг и пациентов в системе здравоохранения США, взлом оператора которой ранее был приписан ALPHV.
Сообщается, что компания Optum, напрямую связанная с Change Healthcare, якобы, выплатила выкуп размеров 22 миллиона долларов за нераспространение украденных данных и получение дешифратора, однако, несмотря на успешную атаку, группа ALPHV/BlackCat исключила аффилированное лицо из операции и присвоила весь выкуп себе.
Пострадавший аффилиат даже опубликовал отдельное сообщение на подпольном форуме Ramp, где подробно расписал вышеописанную череду событий, отметив также, что долгое время работал с группировкой ALPHV, но после такого подлого хода с их стороны, призвал никого из тёмных хакеров не сотрудничать с ней, из-за реального риска “быть кинутым”, несмотря на чёткое исполнение своих обязанностей как аффилиата.
Такие крупные киберпреступные операции, как ALPHV или тот же LockBit, во многом до сих пор существуют и не сбавляют темпы атак из-за большого числа аффилиатов, которые сами проводят атаки от лица головной группы (фирменный инструментарий предоставляется), а полученный выкуп затем делится между аффилиатами и руководством.
Предполагаемый аффилиат ALPHV под ником “notchy” также утверждает, что у него всё ещё остались 4 ТБ “критических данных” Optum, которые он описывает как “данные производства, которые повлияют на всех клиентов Change Healthcare и Optum”, возможно намекая, что может слить эти данные, безвозвратно запятнав репутацию ALPHV как вымогательской группы, если вопрос с оплатой не будет урегулирован.
ALPHV/BlackCat, начавшая свою деятельность в 2020 году под именем DarkSide, пережила несколько перезапусков и была известна атаками на важные инфраструктуры, включая атаку на Colonial Pipeline, приведшую к панике и дефициту бензина в США .
После ряда операций по борьбе с правоохранительными органами, группа неоднократно меняла названия и тактики. Кто знает, возможно и эта ситуация тоже приведёт к перезапуску группировки.