За крупнейшей хакерской группировкой стоит выходец из Ставрополья?

О кибербанде ALPHV (другое название BlackCat aka Noberus) впервые заговорили в ноябре 2021 года. За два года хакеры взломали более 1000 организаций по всему миру и удостоилась звания «самых продвинутых и жестоких на рынке вредоносного ПО».

Жертвы подвергались тройному шантажу. Их данные похищали и грозили обнародовать. Информационные системы шифровали или стирали. За отказ платить выкуп запускали DDos-атаки.

Для усиления давления краденые данные частично публиковались в открытом доступе. Ранее подобные «сливы» случались, в основном, в даркнете. Многие жертвы атак предпочли по-тихому заплатить, дабы скрыть утечки и избежать публичной огласки.

Первоначально ALPHV не рекомендовала своим партнерам нападать на школы и больницы, а также запрещала атаки на страны СНГ. За нарушение навсегда закрывали доступ к программе-взломщику.

Все изменилось, когда за ALPHV взялось ФБР. 19 декабря 2023 году на сайте группировки появилось сообщение: «Федеральное бюро расследований захватило этот сайт в рамках скоординированных действий правоохранительных органов, предпринятых против Alphv Blackcat Ransomware».

ФБР не только смогло закрыть веб-сайт, но и выпустило бесплатный инструмент для расшифровки. В пресс-релизе ФБР заявлено, что дешифровщик помог сотням организаций по всему миру и сэкономил около 68 миллионов долларов на требованиях о выкупе. ФБР также заявило, что получило доступ к компьютерной сети кибербанды.

ALPHV ответила быстро — создала новый сайт и объявила о новых правилах игры: «Как вы все знаете, ФБР получило ключи от нашего блога… Из-за их действий мы вводим новые правила, или, скорее, отменяем ВСЕ правила, кроме одного: вы не можете трогать СНГ…».

21 февраля 2024 года жертвой игры без правил стала американская медицинская компания Change Healthcare. Атака вируса-вымогателя стала одной из самых разрушительных за последние годы. По всей территории США перестали работать аптеки. Возникли серьезные задержки в доставке рецептурных препаратов. 1 марта, в блокчейне Bitcoin прошла транзакция, которая позволяет предположить — Change Healthcare заплатила выкуп в 22 миллиона долларов.

В тот же день предполагаемый партнер по взлому Change Healthcare сообщил, что ALPHV пропала и вывела все средства с кошельков, оставив весь гигантский выкуп себе.

По их словам, ALPHV/BlackCat «решила приостановить действие нашей учетной записи, а сегодня они опустошили кошелек и забрали все деньги… Будьте все осторожны и прекратите сделки с ALPHV».

Впрочем, прекращать было уже нечего. На сайте группировки появилось уже знакомое сообщение от ФБР. Только вот никто из официальных источников не заявил об очередной успешной спецоперации против кибепреступности.

«Мы приняли решение полностью закрыть проект, можем официально заявить, что федералы нас переиграли. Исходный код будет продан, переговоры по этому поводу уже ведутся.», — заявила ALPHV прежде, чем исчезнуть в тумане с как минимум 22 миллионами долларов.

В итоге разработчики софта обманули вообще всех. Программа не работает, партнеры не получили ничего, ФБР не сообщила ни о каких задержаниях. А значит, создатели ALPHV просто исчезли.

Еще в 2022 году на рынке вредоносного ПО появился локер Royal. Специалисты указывают, что некоторые его части практически на 100% совпадают с ALPHV. Возможно, что за Royal Ransomware и ALPHV/BlackCat стоят одни и те же люди.

Долгое время о хакерах из ALPHV не было известно вообще ничего. Но недавно выяснилось, что за группировкой может стоять выходец из Ставропольского края, который сейчас проживает в Дубае.