本周二，美國司法部宣布FBI成功搗毀了ALPHV（BlackCat、黑貓）勒索軟件組織的服務(wù)器，并通過前期監(jiān)控繳獲了大量解密密鑰。但ALPHV發(fā)動反攻并聲稱FBI的圍剿給數(shù)千個受害者帶來了災(zāi)難性的后果。

繳獲500個解密密鑰

12月7日，ALPHV的網(wǎng)站突然停止工作（包括其Tor談判網(wǎng)站和數(shù)據(jù)泄露站點），當(dāng)時ALPHV的管理員聲稱網(wǎng)站停機(jī)是因為“托管問題”，直至周二司法部發(fā)公告證實，F(xiàn)BI成功侵入并搗毀了ALPHV的基礎(chǔ)設(shè)施。

據(jù)報道，過去幾個月中FBI取得了ALPHV基礎(chǔ)設(shè)施的訪問權(quán)，悄悄監(jiān)控其操作同時竊取了解密密鑰。FBI用這些解密密鑰免費(fèi)幫助500名勒索軟件受害者恢復(fù)文件，節(jié)省了約6800萬美元的贖金。

此外，F(xiàn)BI還查封了ALPHV的數(shù)據(jù)泄露網(wǎng)站的域名，該網(wǎng)站現(xiàn)在顯示一條橫幅，表明該網(wǎng)站已經(jīng)被國際執(zhí)法行動查封：

FBI表示，他們識別并收集了946個Tor站點的公鑰/私鑰對，ALPHV勒索軟件組織使用這些站點來托管贖金談判站點和數(shù)據(jù)泄漏站點。

據(jù)Bleepingcomputer報道，自從ALPHV的服務(wù)器遭到破壞后，其附屬機(jī)構(gòu)就不再使用Tor站點的談判網(wǎng)站，通過電子郵件直接聯(lián)系受害者。這表明犯罪團(tuán)伙已經(jīng)意識到ALPHV基礎(chǔ)設(shè)施已被執(zhí)法部門破壞，繼續(xù)使用會帶來風(fēng)險。

另一個勒索軟件巨頭LockBit則“乘火打劫”，向ALPHV的附屬機(jī)構(gòu)發(fā)出加盟要求。

ALPHV發(fā)動反攻

“清剿活動”的戰(zhàn)果似乎并未如美國司法部公告所描述的那般輝煌。本周二下午，ALPHV發(fā)動反攻奪回了數(shù)據(jù)泄露站點（因為ALPHV和FBI都有站點私鑰）。

被ALPHV奪回的數(shù)據(jù)泄漏站點

更糟糕的是，ALPHV宣稱FBI的行動給受害者造成了災(zāi)難性的后果：“FBI在過去半個月內(nèi)獲得了約400家公司的解密密鑰，但（清剿活動）導(dǎo)致3000家受害公司永遠(yuǎn)失去了解密密鑰?！?/p>

而且，被激怒的ALPHV還宣布，將取消對附屬機(jī)構(gòu)的所有限制，現(xiàn)在這些機(jī)構(gòu)可以無差別攻擊任何組織，包括關(guān)鍵基礎(chǔ)設(shè)施。

值得注意的是，這是ALPHV第三次“反圍剿”。2020年8月，DarkSide攻擊殖民地管道后迫于執(zhí)法行動的壓力于2021年5月關(guān)閉。2021年7月31日，DarkSide更名為BlackMatter后回歸，但被Emsisoft利用漏洞創(chuàng)建解密器并查封服務(wù)器，導(dǎo)致其于同年11月再次關(guān)閉。2021年11月，BlackMatter更名為BlackCat/ALPHV后重出江湖并肆虐至今。

因此，即便FBI此次“圍剿”獲得成功，也能難阻止ALPHV再次改頭換面，重操舊業(yè)。