Транзакция, видимая в блокчейне Биткойна, предполагает, что жертва одной из худших атак программ-вымогателей за последние годы, возможно, заплатила очень большой выкуп.
Атака с помощью программы-вымогателя, нацеленная на медицинскую фирму Change Healthcare, стала одной из самых разрушительных за последние годы: она нанесла ущерб аптекам по всей территории США, в том числе больницам, и привела к серьезным проблемам с доставкой рецептурных лекарств по всей стране в течение 10 дней и продолжает расти. Теперь спор внутри преступного подполья выявил новое развитие событий в разворачивающейся катастрофе: один из партнеров хакеров, стоящих за атакой, указывает, что эти хакеры, группа, известная как AlphV или BlackCat, получила транзакцию на сумму 22 миллиона долларов, которая выглядит очень очень похоже на крупный выкуп.
1 марта биткойн-адрес, подключенный к AlphV, получил 350 биткойнов за одну транзакцию, или около 22 миллионов долларов США, исходя из обменных курсов на тот момент. Затем, два дня спустя, кто-то, назвавший себя филиалом AlphV — один из хакеров, которые работают с группой над проникновением в сети жертв — опубликовал на подпольном форуме киберпреступников RAMP, что AlphV обманом лишил их доли выкупа в Change Healthcare. , указав в качестве доказательства на общедоступную транзакцию на сумму 22 миллиона долларов в блокчейне Биткойна.
По словам Дмитрия Смилянца, исследователя охранной фирмы Recorded Future, который первым заметил публикацию, это говорит о том, что Change Healthcare, вероятно, заплатила выкуп AlphV. «Вы можете увидеть количество монет, которые туда приземлились. Такую транзакцию увидишь не так часто», — говорит Смилянец. «Есть доказательства попадания крупной суммы в биткойн-кошелек, контролируемый AlphV. И этот филиал связывает этот адрес с атакой на Change Healthcare. Так что вполне вероятно, что жертва заплатила выкуп».
Представитель компании Change Healthcare, принадлежащей UnitedHealth Group, отказался ответить, платила ли компания AlphV выкуп, сообщив WIRED лишь, что «сейчас мы сосредоточены на расследовании».
И Recorded Future, и TRM Labs, фирма, занимающаяся анализом блокчейнов, связывают биткойн-адрес, на который поступил платеж в размере 22 миллионов долларов, с хакерами AlphV. TRM Labs заявляет, что может связать этот адрес с платежами от двух других жертв AlphV в январе.
Если бы Change Healthcare действительно заплатила выкуп в размере 22 миллионов долларов, это стало бы не только огромной зарплатой для AlphV, но и опасным прецедентом для отрасли здравоохранения, утверждает Бретт Кэллоу, исследователь программ-вымогателей из охранной компании Emsisoft. По его словам, каждый платеж за программу-вымогатель одновременно финансирует будущие атаки ответственной группы и предлагает другим хищникам программ-вымогателей попробовать тот же сценарий — в данном случае атаковать службы здравоохранения, от которых зависят пациенты.
«Если Change действительно окупилась, это проблематично», — говорит Кэллоу. «Это подчеркивает прибыльность атак на сектор здравоохранения. Банды программ-вымогателей непредсказуемы: если они сочтут определенный сектор прибыльным, они будут атаковать его снова и снова, промывать и повторять».
Называвший себя филиалом AlphV, который первым разместил доказательства платежа на RAMP и носил прозвище «notchy», пожаловался, что AlphV, очевидно, получил выкуп в размере 22 миллионов долларов от Change Healthcare, а затем оставил себе всю сумму, вместо того, чтобы поделиться прибыль со своим хакерским партнером, как они якобы договорились. «Будьте осторожны и прекратите сделки с ALPHV», — написал Нотчи.
Этот аффилированный хакер также написал, что, проникнув в сеть Change Healthcare, они получили доступ к данным множества других медицинских компаний, сотрудничающих с компанией. Если это утверждение верно, отмечает Смилянец из Recorded Future, это создает дополнительный риск того, что аффилированный хакер все еще владеет конфиденциальной медицинской информацией. Даже если бы компания Change Healthcare заплатила AlphV, хакерский филиал все равно мог бы потребовать дополнительную оплату или слить данные самостоятельно.
«У филиалов до сих пор есть эти данные, и они злятся, что не получили эти деньги», — говорит Смилянец. «Это хороший урок для всех. Вы не можете доверять преступникам; их слово ничего не стоит».
С точки зрения выплат за программы-вымогатели 22 миллиона долларов станут для AlphV чрезвычайно прибыльным результатом. По словам Кэллоу из Emsisoft, лишь относительно небольшое количество выкупов в истории программ-вымогателей, таких как выплата 40 миллионов долларов, произведенная финансовой фирмой CNA хакерам, известным как Evil Corp, была столь крупной. «Это не беспрецедентно, но, безусловно, очень необычно», — говорит он.
Независимо от того, подтверждено ли, что Change Healthcare заплатила этот выкуп, атака показывает, что AlphV совершил тревожное возвращение: в декабре он стал целью операции ФБР, которое захватило его темные веб-сайты и выпустило ключи расшифровки, которые предотвратили его атаки. о сотнях жертв. Всего два месяца спустя он осуществил кибератаку, которая парализовала Change Healthcare, вызвав сбой в работе сети, последствия которого для аптек и их пациентов теперь растянулись далеко за неделю. По состоянию на прошлый вторник AlphV перечислила 28 компаний на темном веб-сайте, который она использует для вымогательства у своих жертв, не считая Change Healthcare.
Сейчас этот сайт отключен от сети. По состоянию на утро вторника на нем отображалось уведомление, похожее на уведомление правоохранительных органов об изъятии, но исследователь безопасности Фабиан Восар отмечает, что уведомление, похоже, было скопировано с последнего изъятия AlphV. Причина исчезновения группы — то ли из-за очередной операции правоохранительных органов, то ли из-за попыток AlphV увернуться от своих обманутых филиалов — неясна. Трекеры программ-вымогателей сообщают, что AlphV ранее исчезал и несколько раз менял бренд. Исследователи безопасности отмечают, что более ранние воплощения под названиями BlackCat, BlackMatter и Darkside были более или менее одной и той же группой.
Фактически, хакеры, работающие под ником Darkside, были ответственны за атаку с использованием программы-вымогателя Colonial Pipeline в 2021 году, которая спровоцировала остановку транспортировки газа по восточному побережью США и привела к кратковременной нехватке топлива в некоторых городах Восточного побережья. В этом случае жертвы также заплатили хакерам выкуп. «Это было самое трудное решение, которое я принял», — заявил позже на слушаниях в Конгрессе США генеральный директор Colonial Джозеф Блаунт.
Теперь, похоже, некоторые из тех же хакеров, возможно, заставили еще одну компанию принять такое же трудное решение.
No comments:
Post a Comment