Утрата авторитета ALPHV: действия ФБР подорвали доверие к киберпреступникам

В результате масштабной операции ФБР против группировки ALPHV (BlackCat) киберпреступная группа столкнулась с серьезными проблемами. ФБР захватило доменное пространство ALPHV в темной сети, что может нанести удар по ее репутации и деятельности.

7 декабря сайты переговоров и утечки данных группы в сети Tor внезапно прекратили работу . Администраторы ALPHV списали проблему на неполадки с хостингом, однако вскоре выяснилось, что причиной стала операция правоохранительных органов. Позже Министерство юстиции США объявило об успешном проникновении ФБР в инфраструктуру вымогательской группировки ALPHV (BlackCat). Операция позволила агентам следить за действиями хакеров и получить ключи для дешифровки данных.

Инцидент произошел после громкой атаки на казино MGM Resorts International , которая привлекла большое внимание и принесла огромные убытки компании. В Barrier Networks подчеркнули, что подобного рода кибератаки неизбежно привлекают внимание правоохранительных органов.

Несмотря на то, что группировка пока продолжает свою деятельность, ей будет сложно найти новых партнеров. Власти выпустили декодер для шифровальщика ALPHV, ослабив позиции группы и демонстрируя ее уязвимость. Операция ФБР также сильно ударила по репутации ALPHV. Группировка работала, предоставляя свою программу-вымогатель аффилиатам. Однако даже намёк на присутствие правоохранительных органов среди членов группы может оттолкнуть потенциальных партнеров.

После объявления ФБР, группировка угрожала атаковать ядерные электростанции и критически важную инфраструктуру, пытаясь привлечь новых участников обещанием 90% от выкупа. Но их конкурент, группировка LockBit, быстро начала вербовать аффилиатов и участников ALPHV. LockBitSupp предложил использовать свой сайт утечек данных и панель переговоров, особенно если у аффилиатов есть копии украденных данных.

В компании Binary Defense отметили, что инцидент может привести к продаже исходного кода вредоносного ПО ALPHV и возникновению новых кампаний по распространению вымогательского ПО. Некоторые филиалы ALPHV, например, коллектив Scattered Spider, предположительно стоящий за атаками на MGM и Ceasar , способны действовать независимо от картеля-вымогателя. Также предполагается, что члены ALPHV могут перейти в другие группы в сфере вымогательского ПО.

ФБР, конфисковав инфраструктуру ALPHV в темной сети и выпустив декодер, облегчило положение многих жертв. Однако глобальная борьба с киберпреступностью продолжается, так как всегда найдутся злоумышленники, готовые занять место ALPHV.

Несмотря на операцию ФБР, пока не сообщается о каких-либо арестах, что дает группе возможность восстановить свою сеть аффилиатов и перезапуститься под новым именем. Можно предположить, что это станет следующим шагом группировки после потери репутации и недавних событий.

Стоит отметить, что группа ALPHV стала успешным ребрендингом после того, как ныне несуществующие группировки BlackMatter и DarkSide прекратили свою деятельность. С момента своего появления в августе 2020 года под названием DarkSide, группа неоднократно меняла свои имена и тактику в ответ на действия правоохранительных органов. После атаки на Colonial Pipeline в мае 2021 года группа была вынуждена прекратить свою деятельность, но вскоре возобновила её под именем BlackMatter. Однако и в этот раз группе пришлось отступить после того, как Emsisoft нашла уязвимость для создания дешифратора, и серверы группы были захвачены.