W burzliwym okresie dla podziemia cyberprzestępczego ekipa ransomware ALPHV/BlackCat wyłączyła swoją infrastrukturę serwerową w wyniku pozornie narzuconego sobie usunięcia w związku z zarzutami, iż przywódcy grupy ukradli miliony dolarów podmiotowi stowarzyszonemu, który niedawno zaatakował amerykańskiego dostawcę usług opieki zdrowotnej.
Usunięcie początkowo wydawało się być wynikiem skoordynowanego usunięcia przez organy ścigania, ale według ReuteraNarodowa Agencja ds. Przestępczości (NCA), która kierowała operacją Cronos, niedawne zakończenie operacji LockBitnie podjęto żadnych działań organów ścigania.
Wody jeszcze bardziej się zmąciły po ukazaniu się w niedzielę 3 marca oświadczenia opublikowanego łamaną angielszczyzną na jednym z głównych podziemnych forów przez rzekomego partnera ALPHV/BlackCat.
Na plakacie twierdził, iż współpracuje z ALPHV/BlackCat od długiego czasu, a 1 marca otrzymał od Minneapolis w stanie Minnesota okup w wysokości 22 milionów dolarów. Zjednoczona Grupa Zdrowiarodzic dotknięty ransomware Zmień służbę zdrowia.
Jednak powiedzieli, iż po otrzymaniu płatności zespół ALPHV/BlackCat „decyduje zawiesić nasze konto i dalej kłamać i zwlekać, gdy skontaktowaliśmy się z administratorem ALPHV na Tox”.
Dodali: „Ciągle powtarzał, iż czekają [sic] główny administrator i programista do dzisiaj opróżnili portfel i zabrali wszystkie pieniądze…. Bądźcie ostrożni i przestańcie handlować z ALPHV.”
„Należy podkreślić, iż to wszystko spekulacje” – powiedział Yossi Rachman, Semperis dyrektor badań nad bezpieczeństwem. „Zgadzam się, iż wygląda to trochę dziwnie, ponieważ ALPHV może przez to stracić interesy. Z drugiej strony nie jest to biznes stacjonarny, więc jeżeli zdecydują się ukraść pieniądze i uciec, równie łatwo mogą założyć nową firmę pod inną nazwą.
„Ogólnie rzecz biorąc, nikt spoza kręgów ALPHV, jej spółki stowarzyszonej i Change Healthcare nie ma dostępu do informacji o tym, kto zapłacił, a kto nie. A wiesz, co mówią w branży bezpieczeństwa cybernetycznego, iż wśród złodziei nie ma honoru. Nic mnie więc nie zaskoczy.”
Z Bezpiecznym starszy analityk ds. wywiadu dotyczącego zagrożeń, Stephen Robinson, powtórzył opinię Rachmana, iż należy brać wszystko za dobrą monetę. „Każde oświadczenie cyberprzestępców jest z natury niewiarygodne, ALPHV Wygląda na to, iż przestało działać, ale nie wiemy dlaczego” – powiedział.
„Twierdzenie dotyczące płatności partnerskiej jest dość interesujące, ale podobnie niewiarygodne. Aby operacja RaaS zadziałała, podmioty stowarzyszone i grupa główna muszą sobie ufać, więc „kradzież” lub wstrzymywanie płatności od partnera byłoby bardzo nietypowe. Jednak cyberprzestępcy często starają się pozostać poza radarem organów ścigania i unikać przeprowadzania ataków, które będą miały wpływ na świat rzeczywisty, prowadząc do skupienia uwagi międzynarodowych organów ścigania”.
“Możliwie, iż ALPHV zamierzają zmienić markę pod inną nazwą, aby uniknąć uwagi organów ścigania, ale to tylko spekulacje”.
To przemawiałoby do korzeni ALPHV/BlackCat – w większości podobnie spekulacyjnych – w operacji DarkSide który zaatakował Colonial Pipeline w 2021 r.
Atak ten, który obejmował wpływ w świecie rzeczywistym i zakłócenia w dostawach paliwa na obszarze Stanów Zjednoczonych, zwrócił uwagę głównego nurtu problemu systemu ransomware na całym świecie i doprowadził do dużych zmian w polityce Zachodu.
Doprowadziło to również do skoordynowanej operacji organów ścigania przeciwko gangowi, który odzyskał znaczną część okupu zapłaconego przez Colonial Pipeline.
Dla ofiar nie ma ulgi
Rzekome przejęcie przez gang płatności rzekomo dokonanej przez Change Healthcare – której rodzic nie potwierdził, czy zapłacił on okup – nie przyniesie żadnej ulgi organizacji, która stanęła – lub przez cały czas stoi – przed bolesną decyzją.
„Chociaż w przypadku firmy rozrywkowej takiej jak MGM odmowa żądania okupu może mieścić się w granicach apetytu na ryzyko, mimo iż przestoje kosztują organizację przychody, decyzja o niezapłaceniu okupu prawdopodobnie nie narazi życia nikogo na ryzyko” – powiedział Jon Miller, współwłaściciel -założyciel i dyrektor generalny platformy anty-ransomware Zimorodek.
„Ale co z podmiotem świadczącym opiekę zdrowotną, takim jak Change Health, który pilnie potrzebuje dostępu do systemów, ponieważ jakiekolwiek opóźnienia mogą stanowić zagrożenie dla życia ludzkiego? W takich przypadkach decyzja o zapłaceniu żądania okupu jest znacznie bardziej skomplikowana”.
Rozmawiam z odnowioną debatę w sprawie tego, czy opłacanie żądań systemu ransomware powinno zostać uznane za nielegalne, Miller uznał obie strony problemu, mówiąc, iż szybka płatność może czasami być najszybszym sposobem na przywrócenie działania, choć wiąże się z pewnym ryzykiem, ale wyraźnie zachęca się do takiego działania więcej ataków na linii.
W przypadku organizacji opieki zdrowotnej, czy to w systemie prywatnym w USA, czy w ramach NHS w Wielkiej Brytanii, wybór pozostało trudniejszy.
„Ataki ransomware na system opieki zdrowotnej w coraz większym stopniu wpływają na zdolność organizacji do opieki nad pacjentami, a niektóre badania wykazały już bezpośredni związek między atakami systemu ransomware a zwiększoną śmiertelnością pacjentów” – powiedział Miller.
„Znaleziono jedno badanie iż 68% stwierdziło, iż ataki ransomware spowodowały zakłócenia w opiece nad pacjentem, a 43% stwierdziło, iż eksfiltracja danych podczas ataku również miała negatywny wpływ na opiekę nad pacjentem, przy czym 46% odnotowało zwiększoną śmiertelność, a 38% odnotowało więcej powikłań w procedurach medycznych po ataku” on dodał.
Dodał jednak, iż debata na temat zakazów płacenia okupu tak naprawdę nie dotyczy pierwotnej przyczyny problemu, a przede wszystkim podatności systemów informatycznych ofiary.
„Jeśli uda nam się zapobiec powodzeniu tych ataków, debata na temat płatności okupu stanie się dyskusyjna” – stwierdził.
