ALPHV/BlackCat megzavarása
Az Igazságügyi Minisztérium 2023. december 19-én bejelentette, hogy az Szövetségi Nyomozóiroda (FBI) sikeresen betört az ALPHV ransomware csoport szervereire, hogy figyelemmel kísérje tevékenységüket és megszerezze a dekódoló kulcsokat. December 7-én a BleepingComputer számolt be először arról, hogy az ALPHV, más néven BlackCat weboldalai hirtelen leálltak, beleértve a ransomware csoport adatszivárogtató oldalait is. Míg az ALPHV adminja azt állította, hogy ez egy tárhelyprobléma, a BleepingComputer megtudta, hogy ez egy bűnüldözési művelethez kapcsolódott, azonban az amerikai Igazságügyi Minisztérium megerősítette és kijelentette, hogy az FBI olyan bűnüldözési műveletet hajtott végre, amely lehetővé tette számukra, hogy hozzáférjenek az ALPHV infrastruktúrájához. Ezzel a hozzáféréssel az FBI hónapokig rejtve figyelte a ransomware csoport műveleteit, miközben megszerezte a dekódoló kulcsokat. Ezek a dekódoló kulcsok lehetővé tették az FBI számára, hogy 500 áldozatnak segítsen ingyenesen visszaszerezni a fájljaikat, és ezzel mintegy 68 millió dollárnyi váltságdíjkövetelést “takarított “spórolt” meg.
Ezenkívül az FBI lefoglalta az ALPHV adatszivárgási oldalának domainjét, amelyen egy banner jelezte, hogy azt egy nemzetközi bűnüldözési művelet során foglalták le. Az FBI azt állítja, hogy lefoglalták a weboldalt, miután megszerezték a Tor rejtett szolgáltatások nyilvános és privát kulcspárjait, amelyek alatt a weboldal működött, így átvehették az URL-ek feletti ellenőrzést. A lefoglalásról szóló közlemény szerint a műveletben az Egyesült Államok, az Europol, Dánia, Németország, az Egyesült Királyság, Hollandia, Németország, Ausztrália, Spanyolország és Ausztria rendőrsége és nyomozó szervei vettek részt. Az ALPHV szervereinek megzavarása óta az ALPHV tagok elvesztették a bizalmat a ransomware-rel kapcsolatban, ezért a csoport Tor tárgyalóoldalának használata helyett közvetlenül e-mailen keresztül veszik fel a kapcsolatot az áldozatokkal. Ennek oka valószínűleg az volt, hogy a fenyegetési szereplők úgy vélték, hogy az ALPHV infrastruktúráját a bűnüldöző szervek kompromittálták, így ők is veszélybe kerülnek, ha azt használják.
December 19-én délután az ALPHV “feloldotta” az adatszivárgási oldalukat, hogy visszaszerezze az irányítást az URL felett, és azt állította, hogy az FBI hozzáférést szerzett egy adatközponthoz, amelyet szerverek elhelyezésére használtak. Mivel az ALPHV üzemeltetői és az FBI is felügyelet alatt tartja az adatszivárgási oldal onion URL-jének Torban történő regisztrálásához használt privát kulcsokat, oda-vissza tudnak menni, és lefoglalni az URL-t egymástól, ami többször meg is történt. Ennek eredményeként az ALPHV bejelentette, hogy egy új Tor URL-t indítottak az adatszivárogtatási oldalukhoz, amelyhez az FBI nem rendelkezik a privát kulcsokkal, így nem tudja azt lefoglalni.
Az ALPHV azt is elmondta, hogy minden korlátozást megszüntetnek az “előfizetőik” részére, így bármilyen szervezetet célba vehetnek, beleértve a kritikus infrastruktúrákat is. Viszont az “előfizetőket” továbbra is korlátozzák abban, hogy a Független Államok Közössége (FÁK) országait támadják.