美国联邦调查局(FBI)表示,ALPHV/BlackCat勒索软件团伙截至2023年9月已从全球1000多名受害者那里获得了超过3亿美元的赎金。
FBI表示:“ALPHV Blackcat的附属机构在勒索软件和数据勒索行动方面拥有广泛的网络和经验。”
“根据FBI的说法,截至2023年9月,ALPHV Blackcat的附属机构已侵入1000多个实体,其中近75%位于美国,约250个位于美国以外,要求超过5亿美元,获得了近3亿美元的赎金支付。”
在与网络安全与基础设施安全局(CISA)合作的联合咨询中,FBI还分享了缓解措施,以帮助网络防御者和关键基础设施组织降低此勒索软件团伙攻击所带来的影响和风险。
两个机构还提供了FBI于12月6日最近确定的ALPHV的威胁情报(indicators of compromise)和TTP(战术、技术和程序)。
强烈建议网络防御者优先修补在野外受到利用的漏洞,并在所有服务中执行多因素身份验证(MFA)和强密码,特别是对于与关键系统相关的网络邮件、VPN和帐户。
此外,他们应定期更新和打补丁软件到最新版本,并专注于漏洞评估作为标准安全协议的组成部分。
BlackCat/ALPHV于两年多前首次亮相,即2021年11月,并被怀疑是臭名昭著的DarkSide和BlackMatter勒索软件行动的改版。
最初被称为DarkSide的这个团伙在对Colonial Pipeline的攻击后赢得了全球恶名,引起了执法机构的广泛调查。
FBI此前曾将这个勒索软件团伙与首次活动的前四个月(即从2021年11月到2022年3月)中影响全球组织的60多次违规行为联系起来。
FBI破坏Blackcat,开发解密工具
12月7日,BleepingComputer首次报道称,包括该团伙的Tor协商和数据泄漏网站在内的ALPHV暗网站突然停止运作。
今天,美国司法部证实了我们的报道,称FBI侵入了ALPHV勒索软件运营的服务器,成功监视了他们的活动并获得了解密密钥。
为了访问ALPHV的后端附属机构面板,FBI与一名机密人类消息来源(CHS)合作,该CHS在与勒索软件运营商的面谈后获得了附属的登录凭据。
FBI在数月内默默监视了ALPHV的操作,同时收集解密密钥,使他们能够帮助全球500多名受害者免费恢复文件,挽回了约6800万美元的赎金要求。然而,目前尚不清楚是如何获取私有解密密钥的,因为使用附属的后端凭据不会获得这些密钥。
一个可能的理论,尽管尚未得到确认,是FBI利用漏洞允许倾倒数据库或进一步访问勒索软件团伙的服务器。
FBI还没收了该勒索软件运营的数据泄漏网站的域名,并添加了一幅横幅,解释称这是一次国际执法行动的结果。然而,几小时后,ALPHV“解封”了他们的数据泄漏网站,并声称FBI进入了托管该团伙服务器的数据中心。ALPHV还在其泄漏网站上发布的消息中声称,他们已侵入了至少3400名受害者。
由于ALPHV和FBI目前都拥有数据泄漏网站的私钥,他们可以相互接管该域名。
这一情况被其他网络犯罪团伙视为一种早期的节日礼物,比如LockBit勒索软件团伙要求ALPHV的附属机构加入他们的团队,以继续与受害者进行谈判。