ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
Icon Rounded Closed - BRIX Templates

騙されたブラックキャットの関連会社がチェンジ・ヘルスケアの身代金から分け前を要求している

Menlo Labs
|
March 6, 2024

米国のヘルスケア大手Change Healthcareは、悪名高いBlackCatランサムウェアグループ(ALPHV)に2,200万ドルの身代金を支払ったと伝えられています。この支払いは、同社がサービスの復旧に取り組んでいるときに支払われます。 サイバー攻撃を受けた後 これにより、数週間にわたって全国の処方薬サービスが広範囲に中断されました。

それ以来、BlackCat(ALPHV)ランサムウェアギャングはサーバーをシャットダウンし、 伝えられるところによると、Optum攻撃に関与した関連会社に2200万ドルを詐欺したとされています。BlackCatのランサムウェアオペレーターが使用しているToxメッセージングプラットフォームに、「すべておかしい、私たちが決める」という意味の「Все выключено, решаем」というメッセージがロシア語で表示されるようになりました。

この動きは、Optum攻撃に長年関与していたAlphV/BlackCatの関連会社であると自認した個人による申し立てに関連している可能性があります。彼らは、ALPHVがアフィリエイトアカウントを一時停止し、チェンジヘルスケア攻撃のためにオプタムが支払ったと思われる2200万ドルの身代金を持って逃亡したと主張しています。

私たちが知っていること

タイムライン

diagram of alphv timeline

侵害されたアメリカの医療データ

Menlo Labsの脅威情報チームからの報告によると、Change Healthcareの事業はほぼすべてのアメリカ人の医療データに影響を与える可能性があります。膨大な量のデータが関係していることを考えると、これは懸念すべきことです。約4TBの米国市民のデータが、AlphaV/BlackCatの騙された元関連会社によって保持されていると報告されています。漏えいした情報には、特にメディケアやTRICAREなどの重要な国家医療プログラムのデータを含む、さまざまな個人情報や医療情報が含まれます。

このような機密データの漏洩は、何百万人もの受益者のプライバシーとセキュリティに直接的な脅威をもたらすだけでなく、国家安全保障にも幅広い影響を及ぼします。この事件は、アクセスされる可能性のある情報が広範囲かつ詳細に及ぶことを考えると、重要な医療インフラとデータシステムに関するサイバーセキュリティ対策を強化することが極めて重要であることを浮き彫りにしました。

アメリカの医療環境全体に大きな影響を与えていると考えるのは妥当ですが、すべてのアメリカ人の医療データを完全に管理しているという主張には、確固たる証拠がない限り慎重に取り組むべきです。さらに、2024年2月28日現在、チェンジ・ヘルスケアはまだサイトに掲載されていました。

screenshot showing Change Healthcare on ALPHV site

Change Healthcareを取り巻く状況は、新たなBlackCatランサムウェアグループのスキャンダルや、中国の国家支援団体による関与の示唆など、大きな変化を遂げました。しかし、中国の国家支援団体に対するこれらの主張には根拠がなく、私たちはその動向を注意深く見守っています。BlackCatの関連組織と称されるものが中国の国民国家活動に関係していることはもっともらしいですが、決定的な結論に達するには、信頼できる情報源からの実質的な証拠が必要です。

アナリストのコメント: Notchyと直接接触しているHUMINTの情報源の中には、Notchyが中国の国家グループと関係している可能性が高いと言う人もいます。

コミュニティの多くのアナリストが、この展開するストーリーについて、「これは典型的な出口詐欺のようだ」とコメントしています。このような詐欺では、加害者は業務停止を装い、協力者の資金をひそかに不正流用し、別の見方をして再登場する可能性があります。私たちの分析はこの観点と一致しており、出口詐欺は可能性の高い説明であると考えるに至りました。以下に、私たちの結論を裏付ける証拠と、利害関係者およびより広範なサイバーセキュリティエコシステムへの潜在的な影響を示します。

screenshot of FBI seizure message

Notchyがダークウェブフォーラムに登場

アナリストのコメント: 以下の分析は、業界標準のデータ収集方法を採用して、安全な環境で行われたことをご承知おきください。情報は機密性が高いため、編集または削除する必要がありました。TLP Red 環境では、より多くの情報を提供できる場合があります。

多数の研究者が上の写真を参照していることを踏まえ、このスレッドに関する洞察を集めるために、RAMP(500米ドルの手数料または管理者の承認など)の参入障壁で知られるダークウェブフォーラムでの議論を徹底的に分析しました。以下では、変化する状況に光を当てる部分を強調しながら、フォーラムの議論から得た重要なポイントを概説します。

2024年3月3日午後3時43分(UTC)に、「Notchy」と特定されたフォーラムユーザーが、Change Healthcareに対するランサムウェア攻撃の原因となったアフィリエイトであると主張するスレッドを開始しました。Notchyによると、同社が身代金を支払ったとされているにもかかわらず、彼らは約束された補償を受け取っていないという。

screenshot of forum post
screenshot of forum post
screenshot of bitcoin address

アナリストのコメント: Rampは、詐欺の罪で告発された個人には弁護の機会を与えるという規則を施行しています。これは、ユーザー '@BlackCat46' というタグが付けられた管理上の投稿で例示されています。

「私が決定を下す前に、ログと問題についての見解を提供してもらう機会があります。被告は昨年8月22日以降、フォーラムに現れていません。機会があれば、この申し立てについて知っている連絡先を通じて通知してください。」

続いてスレッドで観察したところ、2024年3月5日午前12時56分(UTC)の時点で、「@ransom」という別の名前でグループの存在を示している可能性のあるアクティビティが明らかになりました。この投稿は元々はロシア語で、以下に翻訳されています。

「言い訳しても意味がありませんが、私たちは問題を知っていて、解決しようとしました。広告主は待つように言われ、今起きていることにショックを受け、より大きな手数料で取引よりも高額な入札をしようと個人的な通信を送ることができました。しかし、これは意味がありません。私たちはプロジェクトを完全に終了することを決めたので、連邦政府が私たちを騙したと公式に宣言できます。ソースコードは販売される予定で、この問題についてはすでに交渉が進行中です。皆さん、私たちと一緒にいてくれてありがとう。アカウントは削除できます。もう裁判には行かないし、他のフォーラムには他のアカウントもありませんし、すべて偽物です。」

Notchy は 2024 年 3 月 5 日午前 3 時 32 分 UTC に返信した「@ransom 連邦捜査官のせいにするのはやめろ。ここで言うことを信じる馬鹿はいない。盗んだものを返して、尊厳のある男になれ。」

Additionally, we found Notchy engaging on topics focused on ransomware as early as 2021 where he was looking to buy ransomware. On February 03, 2021 03:14 AM UTC he posted: "Looking for ransomware to buy or % basis I have multiple networks under my control (full domain + full access across managed swtiches & vlans) + multiple production servers hosting enterprise applications"

From the intelligence collected on Ramp we were able to get a Telegram username, and saw some messages from April of 2023 where Notchy was seeking out Cobalt Strike.

screenshot of message about missing ransomware kits

さらに調査を進めると、提供されたスクリーンショットからもわかるように、ユーザーNotchyはRampフォーラムだけでなくExploitフォーラムでもアクティブであることが明らかになりました。

screenshot of forum user profile

Notchyというユーザー名を持つもう1つの興味深いアカウントは、XSSフォーラムアカウントです。これは、このアカウントがマルウェアを販売する投稿にコメントしたためです。このコメントは 10 月 10 日に「信頼できる販売者と正規品 A+++」と記載されたものです。

screenshot of comments about forum user

Notchyが購入したマルウェアには、SmartScreen Killerと最新バージョンのCobalt Strikeが含まれていると報告されています。また、このマルウェアの購入に関連する潜在的なハッシュも特定しました。Change Healthcareの攻撃に関する詳細情報がなければ、このマルウェアが攻撃者に対して使用されたかどうかを判断することはできません。

screenshot of forum post about malware for purchase

とはいえ、このような関係から、「ノッチー」がサイバー活動に関与する可能性について、ランプやエクスプロイトのフォーラム以外にも適切な疑問が生じています。

X(Twitter)に移ると、AlphaV/BlackCatが行っていると思われる出口詐欺についてユーザーが話しているのを見ました。によると ファビアン・ウォサール、「人々はAlphv/BlackCatの隠蔽工作に騙され続けているので、AlpphV/BlackCatは押収されませんでした。彼らはアフィリエイトを詐欺して出口詐欺をしています。新しい削除通知のソースコードを確認すれば一目瞭然です。このようなコードが表示されます。」次の写真はツイートと一緒に投稿されました。

screenshot of code

別の X ユーザ BlackCatがソースコードを販売していることを示すこの画像を共有しました。この情報は、Ramp フォーラムで最初に行われた議論を反映しています。このつながりは、我々の調査をほぼ全面的に展開させるだけでなく、彼らのツールを広め、おそらく最後まで収益化することで、すぐに脱出できる場面を浮き彫りにするものでもあります。

screenshot of ALPHV admin selling source code

ランプの謎めいたフォーラムディスカッションとオブザーバーの賢明な洞察を背景にドラマが繰り広げられる中、近い将来何が起こるかを待つ間、私たちの物語は一時停止します。すべての影がストーリーを隠し、すべてのバイトが秘密を明らかにするサイバー世界では、不確実性が最優先であることを強く思い出させてくれます。

次のステップ

医療業界は、政府に介入して病院に財政的支援を提供するよう求めています特に農村部では資金不足を防ぐためです。病院やさまざまな医療関連組織の支払いシステムは、Changeへの攻撃によって深刻な影響を受け、大幅な遅延が発生しています。現在、一部の病院では、問題の解決を待っている間に現金がなくなるリスクにさらされています。Change Healthcareの最優先事項は、徹底的な調査に必要なデータを維持しながら、システムをオンラインに戻すことであり、スケジュールは多くの変数に左右されます。

Notchyが何をするのか、そしてストーリーがどこに行くのかは、私たち全員が見守るものです。Notchyは、2024年3月4日 09:13(UTC)に、他のメンバーに共同作戦に参加してほしいというリクエストを投稿し、その後、その投稿をランプから削除しました。身代金の一部を奪われたAlphV/Blackcatの元関連会社が、失ったものを取り戻すために、盗んだデータをダークウェブ上で個人的に売ろうとするリスクがあります。また、BlackCatの内部データや情報の公開が、二重恐喝の脅威と相まって、報復の一形態として漏洩する可能性もあります。このようなシナリオでも、最終的にはデータを無料で公開することを選択できます。

漏えいした情報の影響を軽減することは最優先事項であるべきです。なぜなら、これは民間人だけでなく、連邦政府や軍の職員の大多数にも影響を与えると噂されているからです。

ブログカテゴリー
linkedin logotwitter/x logofacebook logoSocial share icon via eMail