Ransomware: ALPHV/Blackcat betrügt offenbar Partner und zieht sich zurück
Die Fakten legen nahe, dass ALPHV/Blackcat einen Cybercrime-Partner um 22 Millionen US-Dollar betrogen und sich nun zurückgezogen hat.
Ransomware hat sich im Netzwerk ausgebreitet.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Die Ransomwarebande ALPHV/Blackcat hat Berichten von Sicherheitsforschern zufolge ihre Server abgeschaltet. Kurz darauf meldete sich ein Affiliate-Partner und wirft den Kriminellen Betrug in den eigenen Reihen vor. Die Bande soll den Partner um 22 Millionen US-Dollar betrogen haben.
Abgeschaltet
Das Geld soll aus einer Erpressung des Betreibers Optum der US-Gesundheitsplattform Change Healthcare stammen. Wie unter anderem Sicherheitsforscher von Bleepingcomputer.com berichten, hat ALPHV/Blackcat am vergangenen Freitag seine Server abgeschaltet.
Die Plattform für Verhandlungen mit Opfern sei noch über das Wochenende aktiv gewesen. Mittlerweile soll auch diese Infrastruktur nicht mehr erreichbar sein. Für einen kurzen Zeitraum stand im Tox-Messenger der Kriminellen, dass sie entschieden haben, alles abzuschalten.
Betrug im Affiliate-Programm
Kurz nach der Abschaltung teilte ein Sicherheitsforscher eine Nachricht eines Affiliate-Partners der Ransomwarebande. ALPHV/Blackcat betreibt ein Ransomware-as-a-Service-Programm, bei dem Affiliates unter anderem den Trojaner für Attacken auf Firmen bekommen. Gelingt eine Attacke und bezahlt ein Opfer Lösegeld, wird das Geld aufgeteilt.
Im Fall der Optum-Attacke sollen 22 Millionen US-Dollar gezahlt worden sein, damit die erbeuteten Patientendaten nicht geleakt werden und das Opfer den Entschlüsselungsschlüssel bekommt. Nun behaupten die Affiliates, dass sie als langjähriger Partner von APLHV-Blackcat um den Millionenbetrag betrogen wurden. Dafür sollen sie den Account des Partners gesperrt und das Wallet mit dem Lösegeld geleert haben.
Der Affiliate-Partner gibt nun an, dass sie noch im Besitz von 4 Terabyte an erbeuten Daten sind. Darunter sollen sich sensible Informationen von Firmen aus dem Gesundheitssektor befinden. Optum hat mitgeteilt, den aktuellen Vorfall zu untersuchen.
Wie geht es weiter?
Unklar ist derzeit, ob ALPHV/Blackcat sich nach dem Betrug zurückzieht oder unter neuem Namen einen Neuanfang wagt. Das wäre nicht das erste Mal, schließlich waren die Kriminellen bereits 2020 unter dem Namen DarkSide unterwegs.
In jüngster Vergangenheit geriet die Ransomwarebande zunehmend unter Druck. So hatten Strafermittler bereits Zugriff auf deren Server und das FBI hat für Hinweise auf die Täter eine Belohnung von bis zu 15 Millionen US-Dollar ausgeschrieben.
(des)
