Эксперты связали шифровальщика BlackCat (ALPHV) с группировками BlackMatter и DarkSide

Аналитик компании Recorded Future Дмитрий Смилянец взял интервью у представителя хак-группы, стоящей за шифровальщиком BlackCat (ALPHV). Тот подтвердил, что ALPHV связан с такими известными группировками как BlackMatter и DarkSide, пишет Хакер.

Напомню, что необычная, написанная на Rust вымогательская малварь ALPHV (она же BlackCat и BC.a Noberus) была обнаружена исследователями в конце прошлого года. Уже тогда специалисты отмечали, что создатель ALPHV, вероятно, ранее был участником известной хакерской группировки REvil, а новый вредонос представляет собой «очень сложный» шифровальщик.

Еще в конце 2021 года, после появления ALPHV, представитель хак-группы LockBit заявил, что ALPHV — это лишь ребрендинг малвари BlackMatter/ DarkSide.

Теперь эти заявления подтвердил и сам представитель ALPHV:

«Отчасти мы все связаны с gandrevil [GandCrab/REvil], blackside [BlackMatter/DarkSide], mazegreggor [Maze/Egregor], LockBit и так далее, потому что мы — “реклама”. “Реклама” пишет программное обеспечение, “реклама” выбирает название бренда, вся партнерская программа — ничто без “рекламы”. Не было никакого ребрендинга или смешения ценных кадров, потому что мы не имеем прямого отношения к этим партнерским программам. Скажем так, мы позаимствовали их достоинства и устранили недостатки».

Хотя в интервью операторы BlackCat утверждают, что они были лишь партнерами BlackMatter/ DarkSide, которые запустили собственный вымогательский «бизнес», некоторые эксперты в это не верят. К примеру, в ответ на заявления хакеров издание Bleeping Computer цитирует аналитика компании Emsisoft Бретта Кэллоу, который уверен, что BlackMatter попросту заменила команду разработчиков после того, как Emsisoft нашла уязвимость в их малвари, позволявшую жертвам бесплатно восстанавливать файлы.

«Хотя в ALPHV утверждают, что являются бывшими партнерами DS/BM, более вероятно, что они и *есть* DS/BM, просто пытаются дистанцироваться от этого бренда из-за удара по репутации, полученного после обнаруженной [нами] ошибки, которая обошлась их партнерам в несколько миллионов долларов», — говорит Кэллоу.

Также журналисты Bleeping Computer отмечают, что хакеры, похоже, не учатся на своих ошибках. Дело в том, что ответственность за недавние атаки на немецкие компании Oiltanking и Mabanaft, занимающиеся транспортировкой и хранением нефти и нефтепродуктов, лежит на операторах шифровальщика BlackCat/ALPHV . Эти атаки в очередной раз затронули цепочку поставок топлива и вызвали немало проблем.

Это весьма иронично, если учесть, что ранее группировка DarkSide была вынуждена прекратить свою деятельность именно после атаки на крупнейшего оператора трубопроводов в США, компанию Colonial Pipeline, так как инцидент спровоцировал перебои с поставками топлива и привлек к хакерам слишком много ненужного им внимания.

Примерно это же произошло и с шифровальщиком BlackMatter, который эксперты почти сразу назвали ребрендингом DarkSide, — правоохранительные органы конфисковали серверы группы и заставили ее «закрыться» снова.

Теперь, после атаки на Oiltanking и Mabanaft, группировка вновь может оказаться под ударом по той же самой причине. Впрочем, в интервью Recorded Future хакеры заявили, что они не могут контролировать, которого именно атакуют их партнеры, и стараются блокировать тех, кто нарушает правила.