Das FBI geht weiter gegen die APT-Gruppe ALPHV alias BlackCat vor. Kurz hatte das FBI Zugriff die Leak-Seite der Gruppe im Darknet gesperrt. Nun ist sie wieder offen und ALPHV kündigt in russischer Sprache an, dass 3.000 Unternehmen die Schlüssel für ihre Ransomware nie erhalten werden.
Offener wurde noch nie ein Schlagabtausch zwischen dem FBI und einer APT-Gruppe geführt. So veröffentlichte das FBI eine Mitteilung, dass sie diverse Server von ALPHV übernommen habe und nun 500 Opfern ein Entschlüsselungstool zur Verfügung stellt. „Mit der Zerschlagung der BlackCat-Ransomware-Gruppe hat das Justizministerium die Hacker erneut gehackt“, sagte die stellvertretende Generalstaatsanwältin Lisa O. Monaco.
🔎 Die ALPHV Leak-Seite im Darknet wurde erst vom FBI beschlagnahmt (Bild: B2B-C-S).
„Mit einem Entschlüsselungstool, das das FBI Hunderten von Ransomware-Opfern weltweit zur Verfügung stellte, konnten Unternehmen und Schulen wieder öffnen und Gesundheits- und Rettungsdienste konnten wieder online gehen. Wir werden weiterhin Störungen priorisieren und die Opfer in den Mittelpunkt unserer Strategie stellen, um das Ökosystem zu zerstören, das die Cyberkriminalität anheizt.“
ALPHV hält dagegen mit Drohungen
Im Darknet hatte das FBI die Leak-Seite mit dem Hinweis versehen, dass die Seite „beschlagnahmt“ wurde. Nur wenige Stunden später hatte ALPHV bei der Seite wieder die Oberhand und hat die Seite wieder „Entschlagnahmt“. Anscheinend haben das FBI und APLHV die nötigen Zugriffsschlüssel für die Seite und können sich nicht gegenseitig sperren.
🔎 Aber ALPHV konnte die Leak-Seite wieder freischalten und hat sie nach eigenen Worten „entschlagnahmt“ (Bild: B2B-C-S).
Auf der entsperrten Seite gibt ALPHV die Adresse für eine neue Leak-Seite an, auf die das FBI keinen Zugriff hätte. Weiterhin droht die Gruppe in russischer Sprache recht unverhohlen, dass man nun den Weg des FBIs kenne, mit denen der Zugriff erlangt wurde. Weiterhin kommt die Kampfansage: „Das Maximum, das sie haben (Anmerk. Red. „das FBI“), sind die Schlüssel der letzten anderthalb Monate, das sind etwa 400 Unternehmen, aber jetzt werden mehr als 3.000 Unternehmen ihre Schlüssel nie erhalten.“ Weiterhin wird gedroht: „Aufgrund ihres Vorgehens führen wir neue Regeln ein, oder besser gesagt, wir entfernen ALLE Regeln…. Vielen Dank für Ihre Erfahrung, wir werden unsere Fehler berücksichtigen und noch härter arbeiten, wir warten auf Ihr Gejammer in Chats und Anfragen nach Rabatten, die es nicht mehr gibt.“.
Neue Leak-Seite ist online – aber nur 6 Opfer
Die neue Leak-Seite ist nun zwar online, aber sie zeigt aktuell nur 6 neue Opfer der Ransomware-Gruppe. In wie weit das gesamte Ökosystem von ALPHV durch das FBI zerstört wurde, ist noch unklar. Aber dass das FBI kein zahnloser Tiger ist, hat es bereits mehrfach bewiesen. So wurde etwa die Ransomware-Bande Ragnar Locker zerschlagen, das QBot- bzw. Qakbot-Netzwerk aufgelöst oder zuletzt HIVE-Mitglieder festgenommen.
Mehr bei Justice.gov