ФБР разрушило империю ALPHV: агенты проникли в систему синдиката вымогателей

Министерство юстиции США объявило об успешном проникновении ФБР в инфраструктуру вымогательской группировки ALPHV (BlackCat). Операция позволила агентам следить за действиями хакеров и получить ключи для дешифровки данных.

Инцидент стал известен после того, как 7 декабря сайты переговоров и утечки данных группы в сети Tor внезапно прекратили работу . Администраторы ALPHV списали проблему на неполадки с хостингом, однако вскоре выяснилось, что причиной стала операция правоохранительных органов. Операцию проводили полицейские и следственные агентства из США, Европола, Дании, Германии, Великобритании, Нидерландов, Австралии, Испании и Австрии.

Согласно ордеру суда, ключевой фактор успеха операции заключался в привлечении конфиденциального источника, который, откликнувшись на публичное объявление группы о наборе аффилированных лиц и, после собеседования с киберпреступниками, получил учетные данные для доступа к партнерской системе ALPHV в сети Tor. Получение доступа позволило полиции изучить и контролировать действия группы в сети.

ФБР, получив доступ к серверам группы, на протяжении нескольких месяцев вело наблюдение, параллельно изымая ключи дешифрования , что позволило восстановить данные около 500 жертвам программы-вымогателя, избежав выплаты выкупов на общую сумму около $68 млн.

В рамках операции ФБР также изъяло домен сайта утечки данных ALPHV, на котором теперь размещено уведомление о его конфискации. Захват сайта стал возможен после того, как ФБР получило ключи для доступа к скрытым сервисам Tor, под которыми работал сайт.

Баннер на сайте ALPHV

Обнародованный ордер на обыск раскрывает, что правоохранительные органы получили доступ к сети BlackCat, идентифицировав и собрав 946 пар публичных и приватных ключей. Эти ключи использовались для управления сайтами общения с жертвами, площадками утечек данных и панелями партнеров (аффилиатов).

После нарушения работы серверов ALPHV доверие партнеров к группе снизилось – некоторые из них начали напрямую обращаться к жертвам через электронную почту, минуя платформу группы в сети Tor. Это связано с опасениями о том, что инфраструктура ALPHV могла быть скомпрометирована. Также стоит отметить, что вымогательская группировка LockBit восприняла ситуацию как возможность для расширения своей деятельности, предложив аффилиатам ALPHV присоединиться к ним.

С момента своего появления в августе 2020 года под названием DarkSide, группа неоднократно меняла свои имена и тактику в ответ на действия правоохранительных органов. После атаки на Colonial Pipeline в мае 2021 года группа была вынуждена прекратить свою деятельность, но вскоре возобновила её под именем BlackMatter. Однако и в этот раз группе пришлось отступить после того, как Emsisoft нашла уязвимость для создания дешифратора, и серверы группы были захвачены.

С ноября 2021 года группа действовала под названием ALPHV/BlackCat, постоянно совершенствуя свои методы вымогательства. Вероятно, после этой операции правоохранительных органов группа снова попытается изменить свое имя и стратегию.