【自導自演】BlackCat疑假扮被查封　強搶合作夥伴分紅

早前聲稱成功入侵及盜取 UnitedHealth 的勒索軟件集團 BlackCat / ALPHV，其自家網站突然被貼上一個被執法部門查封的通告。表面上，BlackCat 看似被執法部門搗破，不過，多個網絡安全專家就認為這次只是集團自導自演的退出騙局（exit scam），旨在強搶合作夥伴應得的分紅，並估計集團好有可能東山再起。

專家質疑是退出騙局

Exit scam 其實是指一種詐騙行為，經常發生於網絡犯罪平台之上，比較著名的例子有 2015 年發生的 The Evolution Marketplace 事件，當時管理人自行殺站及偷走用家價錢約 1200 萬的比特幣；另外，亦不時發生在加密貨幣交易平台或眾籌項目之上。Exit scam 之所以經常發生在這些領域，是因為大多以加幣貨幣交易，執法部門往往難以追蹤資金去向及追回損失。而這次事件主角 BlackCat，去年 12 月曾被執法部門搗破它們的基礎設施，不過集團很快轉移至新的伺服器，因此實際上沒有影響到他們及其合作伙伴的運作。

不過，BlackCat 營運的暗網網站在周初被發現貼上由執法部門刊登的封站通告，起初以為集團再一次被執法機關盯上，但不少網絡安全研究員卻發現事有蹺蹊，例如安全研究員 Fabian 指出網站上貼出的通告是一個保存版本，他認為如真的由執法部門刊登，實在沒有理由不使用原始版本通告。特別是當傳媒向美國聯邦調查局、歐洲刑警組織查詢事件真偽，雙方都未有作出評論，僅得英國國家犯罪署肯定地回應事件與他們無關；但在同一時間 Recorded Future 安全研究員在社交媒體平台 X 上發布截圖，指 BlackCat 成員在地下討論區聲稱被 FBI 害慘，並企圖以 500 萬美元出售他們的勒索軟件原代碼，企圖增加事件的可信度，以及賺取最後一筆錢。

合作夥伴控訴未收款

導致這次 exit scam 的源頭，安全專家估計與 UnitedHealth Group 入侵事件有關，據受害者指 BlackCat 集團在今年 2 月對其網絡發動網絡攻擊，令整個美國醫療系統陷入癱瘓狀態，而 BlackCat 亦承認入侵事件，更在上周表示盜取了數百萬條敏感資料，但隨後又在未有解釋下刪除相關言論，雖然受害者未有回應是否已支付贖金，但有疑似 BlackCat 合作夥伴就在地下論壇上控訴 BlackCat 已收取 2200 萬美元贖金，但卻未有向他們支付應得款項。

綜合種種證據，令人懷疑這次事件是否自導自演的退出騙局。有網絡安全專家就指出，BlackCat 集團成員本身便是由另一勒索軟件集團 DarkSide 重組而成，對他們來說已有豐富轉名經驗，因此這次事件以被查封為名、騙財為實的機會不低，並估計他們很快會換個新名，捲土重來。

資料來源：https://thehackernews.com/2024/03/exit-scam-blackcat-ransomware-group.html?m=1