本周三，BlackCat/ALPHV(黑貓)勒索軟件組織創始人突然宣布解散并出售其勒索軟件源代碼。該團伙在Tox上的狀態變為"GG"暗示操作結束，后來變為“出售源代碼5kk”，表明他們想要以500萬美元的價格出售其勒索軟件源代碼。

BlackCat的數據泄漏網站還展示了一份FBI的扣押通知(題圖)，看上去像是遭遇了執法機構的清剿，但諷刺的是，FBI、NCA和歐洲刑警組織都否認參與此事。

卷款跑路

根據安全人員的調查，BlackCat勒索軟件的突然關閉并非遭遇執法行動，而是一次典型的“卷款跑路”。

不久前，BlackCat的加盟成員攻擊了美國醫療巨頭Change Healthcare，導致其全美醫院和藥房的處方藥配送中斷近兩周，并索要2200萬美元的天價贖金。Change Healthcare很可能支付了該筆贖金，并導致BlackCat經營者“卷款跑路”。

3月1日，安全研究人員發現BlackCat的一個贖金加密貨幣地址收到了一筆價值約2200萬美元的單筆交易。3月3日，BlackCat的一個加盟成員“Notchy”在俄語勒索軟件論壇Ramp投訴稱Change Healthcare支付了2200萬美元的勒索金換取解密鑰匙，并防止4TB被盜數據被公開泄漏。

該加盟成員聲稱BlackCat團隊收取了2200萬美元的贖金后不但未向其支付傭金(BlackCat加盟成員的傭金分成比例高達60-90%)，還將其賬戶凍結，BlackCat的管理員則聲稱是由于系統遭受了FBI的突襲。

黑貓勒索軟件數據泄漏站點上的假FBI通知

“在收到贖金支付后，BlackCat團隊決定暫停我們的賬戶，并在我們聯系BlackCat管理員時繼續撒謊和拖延，”附屬成員“Notchy”寫道：“不幸的是，(已經支付贖金的)Change Healthcare的數據仍然在我們手里。”

Emsisoft的勒索軟件研究負責人FabianWosar表示，諸多跡象表明BlackCat領導人是想“卷款跑路”。“ALPHV/BlackCat沒有被查封，”Wosar在X上發帖指出：“他們是卷款跑路，當你檢查BlackCat網站上更新的FBI扣押通知的源代碼時，這顯而易見。”

贖金暴雷

為了證明Change Healthcare已經支付贖金，Notchy成員分享了一個加密貨幣支付地址，該地址記錄了350個比特幣(約2300萬美元)的單筆交易，日期為3月2日。

在獲得該贖金后，BlackCat運營者將比特幣分發到各個錢包中，每筆交易大約330萬美元。

值得注意的是，雖然接收地址現在為空，但它顯示累計收到并發送了接近9400萬美元。

截至發稿，Change Healthcare既未確認也未否認支付，假設Change Healthcare確實支付了贖金了以防止數據被公開泄漏，目前的結果可謂血本無歸。

Recorded Future的研究員Dmitry Smilyanets指出，BlackCat卷款跑路尤其危險，因為(實施攻擊)的加盟成員仍然擁有所有被盜數據，并且可能要求受害者額外支付贖金以防止泄露信息。

更糟糕的是，投訴BlackHat的Notchy聲稱，他們還從Change Healthcare合作伙伴那里偷到了大量敏感數據，受害者名單中包括Medicare和一系列其他主要的保險和藥房網絡。

從積極的角度來看，Change Healthcare雖然遭遇了“贖金暴雷”，但也直接導致了BlackCat管理者“卷款跑路”，徹底終結了這個勒索軟件組織，并沉重打擊了RaaS勒索軟件模式在網絡犯罪分子中的可信度。

值得注意的是，Change Healthcare這樣的醫療機構本不在BlackCat的攻擊范圍中。

BlackCat在2023年12月底曾被FBI滲透，執法機構扣押了BlackCat網站并發布了一個解密工具，以幫助受害者恢復系統。

隨后，BlackCat很快重新組建并將加盟成員傭金提高到最多90%。BlackCat還宣布正式取消對針對醫院和醫療服務提供者的任何攻擊限制或勸阻，這直接導致Change Healthcare遭受了BlackCat加盟成員的攻擊。