【自導自演】BlackCat疑假扮被查封 強搶合作夥伴分紅

    早前聲稱成功入侵及盜取 UnitedHealth 的勒索軟件集團 BlackCat / ALPHV,其自家網站突然被貼上一個被執法部門查封的通告。表面上,BlackCat 看似被執法部門搗破,不過,多個網絡安全專家就認為這次只是集團自導自演的退出騙局(exit scam),旨在強搶合作夥伴應得的分紅,並估計集團好有可能東山再起。

    專家質疑是退出騙局

    Exit scam 其實是指一種詐騙行為,經常發生於網絡犯罪平台之上,比較著名的例子有 2015 年發生的 The Evolution Marketplace 事件,當時管理人自行殺站及偷走用家價錢約 1200 萬的比特幣;另外,亦不時發生在加密貨幣交易平台或眾籌項目之上。Exit scam 之所以經常發生在這些領域,是因為大多以加幣貨幣交易,執法部門往往難以追蹤資金去向及追回損失。而這次事件主角 BlackCat,去年 12 月曾被執法部門搗破它們的基礎設施,不過集團很快轉移至新的伺服器,因此實際上沒有影響到他們及其合作伙伴的運作。

    不過,BlackCat 營運的暗網網站在周初被發現貼上由執法部門刊登的封站通告,起初以為集團再一次被執法機關盯上,但不少網絡安全研究員卻發現事有蹺蹊,例如安全研究員 Fabian 指出網站上貼出的通告是一個保存版本,他認為如真的由執法部門刊登,實在沒有理由不使用原始版本通告。特別是當傳媒向美國聯邦調查局、歐洲刑警組織查詢事件真偽,雙方都未有作出評論,僅得英國國家犯罪署肯定地回應事件與他們無關;但在同一時間 Recorded Future 安全研究員在社交媒體平台 X 上發布截圖,指 BlackCat 成員在地下討論區聲稱被 FBI 害慘,並企圖以 500 萬美元出售他們的勒索軟件原代碼,企圖增加事件的可信度,以及賺取最後一筆錢。

    合作夥伴控訴未收款

    導致這次 exit scam 的源頭,安全專家估計與 UnitedHealth Group 入侵事件有關,據受害者指 BlackCat 集團在今年 2 月對其網絡發動網絡攻擊,令整個美國醫療系統陷入癱瘓狀態,而 BlackCat 亦承認入侵事件,更在上周表示盜取了數百萬條敏感資料,但隨後又在未有解釋下刪除相關言論,雖然受害者未有回應是否已支付贖金,但有疑似 BlackCat 合作夥伴就在地下論壇上控訴 BlackCat 已收取 2200 萬美元贖金,但卻未有向他們支付應得款項。

    綜合種種證據,令人懷疑這次事件是否自導自演的退出騙局。有網絡安全專家就指出,BlackCat 集團成員本身便是由另一勒索軟件集團 DarkSide 重組而成,對他們來說已有豐富轉名經驗,因此這次事件以被查封為名、騙財為實的機會不低,並估計他們很快會換個新名,捲土重來。

    資料來源:https://thehackernews.com/2024/03/exit-scam-blackcat-ransomware-group.html?m=1

    網絡安全公司Green Radar聯同 wepro180 最新推出《網安2分鐘》,一系列影片助你自學網絡安全招數,遠離詐騙,安全意識輕鬆 Level Up!立即去片:https://www.wepro180.com/cybersafety/

    #AlphV #BlackCat #CyberSecurity #ExitScam #網絡安全 #退出騙局

    相關文章