美国联邦调查局(Federal Bureau of Investigation,FBI)本周查缉勒索软体BlackCat/ALPHV受害者资料公布网站,虽然一度成功,但BlackCat骇客组织随即宣称「收复」该网站,也采取报复行动。
美国司法部昨(19)日宣布,FBI连同美国特勤局、德国、丹麦、欧洲刑警(Europol)等国警方破获BlackCat/ALPHV的电脑网路,以及该集团营运的多个用以公布受害者资料的网站。
BlackCat是同一骇客组织的第三代身分。2020年一骇客以DarkSide为名兴起,2021年5月对油管业者Colonial Pipeline发动攻击引发警方追捕关闭后,同年年中以BlackMatter为名出现,但在资安业者Emsisoft骇入其网路制作出一把解密金钥后,协助警方破获其网路系统。2021年底骇客又以BlackCat/ALPHV为名再度活动。
过去18个月来,BlackCat/ALPHV在全球勒索了数亿美元赎金,成为赎金第二多的勒索软体即服务(ransomware-as-a-service),仅次于Ryuk,也有多国执法机关同时进行调查。单单在美国,遭BlackCat入侵加密的受害者遍及政府、消防、国防工具、制造、医疗、公卫以及一般企业及学校。使用BlackCat网路的骇客会采取双重勒索(double extortion)手法。窃取受害者敏感资讯并且加密系统,以向受害者勒索赎金以换取解密金钥,一旦勒索不成就会将窃得的资料公布在暗网网站上作为报复。
FBI开发了一项解密工具,供多国警方提供500多个受害者组织得以取回被勒索软体加密的系统,使其免于6,800万美元的金钱损失。
根据资安新闻网站《Bleeping Computer》报导,周二FBI宣布其成功行动后,下周BlackCat在论坛上向其同伙公布收复其资料公布网站。
FBI在这次行动中控制了骇客营运部落格的一座资料中心。现在BlackCat骇客和FBI都有注册网站URL的金钥,因此两者可能呈现拉锯,轮流取得对URL的控制权。
但骇客宣称,FBI只控制了一座资料中心,其他资料中心还在骇客手上。而且FBI虽然取得400家受害公司的金钥,但由于此次行动,其他3,000多家受害组织将再也拿不回其金钥。此外,作为此次行动的报复,骇客对其同伙放寛其攻击限制,除了网路安全主管机关外,其他如医院、核电厂等都不在限制之内。骇客也强调不会对任何企业要求的赎金打折。
《Bleeping Computer》分析,根据历史经验可以推知,BlackCat可能很快就会以另一身分重出江湖。