Компания по информационной безопасности Secureworks заявила, что хакеры-вымогатели из группировки BlackCat готовы бросить вызов правоохранительным органам.
Министерство юстиции США (DoJ) официально объявило о проведении технической операции против хакерской группировки вымогателей BlackCat 19 декабря 2023 года. Это событие сопровождалось сообщением на сайте группы о том, что домен был конфискован ФБР. Однако через несколько часов после этого хакеры группировки ответили собственным уведомлением на этом же сайте, что готовы противодействовать правоохранительным органам.
«Мы находимся в ситуации, когда правоохранительные органы и операторы вымогательского ПО BlackCat имеют закрытый ключ к сайту Tor .onion, и поэтому могут создавать разные сайты по одному и тому же URL-адресу», — пояснил Тим Митчелл, старший исследователь угроз в компании Secureworks, подразделении противодействия угрозам.
Тим Уэст, руководитель отдела анализа киберугроз в компании WithSecure, прокомментировал: «Захват ИТ-инфраструктуры даркнета работает иначе, чем захват веб-страниц в поверхностной сети. «Владельцы» имени хоста смогут публиковать данные, используя это имя хоста, если они владеют правильным секретным ключом. Если два объекта владеют одним и тем же закрытым ключом, то каждый из них, по сути, может обновлять ресурс и бороться за контроль над блогом».
Тим Уэст также объяснил, что теоретически два объекта могут случайно владеть одним и тем же закрытым ключом, если имена хостов конфликтуют, но шансы на это математически малы. Он упомянул, что и ордер ФБР, и комментарий BlackCat намекают на использование инсайдера.
Александр Лесли, аналитик по анализу угроз в компании Recorded Future сказал: «Пока хакеры группировки ALPHV/BlackCat сохраняют свои закрытые ключи, они по-прежнему будут иметь доступ к блогу. Они также могли бы запустить второй сервер. Это не какой-то невероятный подвиг».
Сообщение BlackCat, размещенное на основном их сайте утечек, сопровождалось ссылкой на новый блог и объявлением на русском языке, в котором признавалось воздействие ФБР на ИТ-инфраструктуру группировки, и были слова о неком возмездии.
С полной версией отчёта компании Secureworks можно ознакомиться по следующей ссылке.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.