Schließung der BlackCat-Ransomware-Gruppe nach einem 22-Millionen-Dollar-Exit-Betrug

Die Saga um die BlackCat-Ransomware (ALPHV Ransomware) hat eine dramatische Wendung genommen, da die dahinter stehenden Bedrohungsakteure scheinbar verschwunden sind und Verwirrung und Spekulationen hinterlassen haben. Berichten zufolge haben sie einen Exit-Betrug inszeniert, ihre Darknet-Website geschlossen und ihre Partner im Stich gelassen.

Der Sicherheitsforscher Fabian Wosar betonte den verdächtigen Charakter des Vorfalls und wies auf Unstimmigkeiten in dem angeblichen Beschlagnahmungsbanner der Strafverfolgungsbehörden hin, das auf der Website hochgeladen wurde. Laut Wosar ist dieser Schritt ein klarer Hinweis auf einen Exit-Betrug und nicht auf eine legitime Beschlagnahme durch die Behörden.

Trotz Behauptungen über eine Beteiligung der Strafverfolgungsbehörden bestritt die britische National Crime Agency jeglichen Zusammenhang mit der Störung der BlackCat-Infrastruktur. Von Recorded Future-Sicherheitsforscher Dmitry Smilyanets geteilte Screenshots enthüllten die Absicht der Ransomware-Akteure, ihren Quellcode für die stolze Summe von 5 Millionen US-Dollar zu verkaufen, und nannten als Grund für ihr plötzliches Verschwinden die Einmischung der Strafverfolgungsbehörden.

Die Situation eskalierte weiter, als es Vorwürfe gab, dass BlackCat eine massive Lösegeldzahlung in Höhe von 22 Millionen US-Dollar von der Change Healthcare-Abteilung von UnitedHealth erhalten und diese nicht an eine an dem Angriff beteiligte Tochtergesellschaft weitergegeben habe. Der verärgerte Partner, dessen Konto von den Verwaltungsmitarbeitern von BlackCat gesperrt wurde, brachte seine Beschwerden im RAMP-Forum für Cyberkriminalität zum Ausdruck und beschuldigte BlackCat, die gemeinsame Geldbörse betrügerisch geleert zu haben.

Es gibt zahlreiche Spekulationen über die Zukunft von BlackCat. Einige deuten auf eine Umbenennung hin, um einer genauen Prüfung zu entgehen und den Betrieb unter einer neuen Identität fortzuführen. Die problematische Geschichte der Gruppe, einschließlich früherer Beschlagnahmungen ihrer Infrastruktur, trägt zu der Intrige um ihr plötzliches Verschwinden bei.

Malachi Walker, ein Sicherheitsberater, gab Einblicke in die möglichen Motive hinter dem Exit-Betrug und verwies auf Bedenken hinsichtlich der inneren Sicherheit und der Verlockung einer Auszahlung bei hohen Kryptowährungswerten. Dieser Schritt birgt jedoch die Gefahr, den Ruf der Gruppe zu schädigen und das Vertrauen ihrer Partner zu untergraben.

Der Untergang von BlackCat fällt mit Entwicklungen in der Ransomware-Landschaft zusammen, einschließlich Verschiebungen in der Geschäftstätigkeit anderer Gruppen wie LockBit und dem Aufkommen neuer Bedrohungen wie RA World. Diese Vorfälle verdeutlichen die sich weiterentwickelnde Natur von Cyber-Bedrohungen und die Herausforderungen, mit denen Unternehmen bei der Abwehr dieser Bedrohungen konfrontiert sind.