ALPHV/BlackCat - ransomware napisany w Rust, który sparaliżował amerykańską służbę zdrowia
ALPHV/BlackCat - analiza grupy ransomware napisanej w Rust, atak na Change Healthcare z okupem 22 mln USD i kosztami 3,1 mld USD, exit scam po przejęciu przez FBI, zdrada afiliantów.
Luty 2024 roku. W szpitalach i aptekach na terenie całych Stanów Zjednoczonych zaczyna się chaos. System, przez który przechodzi niemal połowa wszystkich transakcji ubezpieczeniowych w amerykańskiej ochronie zdrowia, przestaje odpowiadać. Lekarze nie mogą wystawić recept. Apteki nie mogą zweryfikować ubezpieczenia pacjentów. Szpitale nie otrzymują płatności za wykonane zabiegi. Mniejsze praktyki lekarskie, żyjące z tygodnia na tydzień, stają na krawędzi bankructwa.
Przyczyną jest atak ransomware na Change Healthcare - firmę przetwarzającą 15 miliardów transakcji medycznych rocznie, obsługującą jedną trzecią wszystkich Amerykanów. Za atakiem stoi ALPHV/BlackCat - grupa, która za chwilę zgromadzi 22 miliony dolarów okupu, zdradzi własnych partnerów i zniknie, zostawiając za sobą rachunek przekraczający 3 miliardy dolarów.
To historia o tym, jak ransomware napisany w języku programowania Rust stał się jednym z najskuteczniejszych narzędzi cyberprzestępczych w historii. I o tym, jak złodzieje okradli złodziei.
Od DarkSide do BlackCat - trzy życia jednej grupy
Aby zrozumieć ALPHV/BlackCat, trzeba cofnąć się do maja 2021 roku, kiedy grupa DarkSide przeprowadziła atak na Colonial Pipeline - rurociąg dostarczający 45% paliwa na wschodnie wybrzeże Stanów Zjednoczonych. Atak wywołał panikę na stacjach benzynowych i postawił na nogi całą amerykańską administrację. Presja organów ścigania zmusiła DarkSide do zamknięcia operacji.
Dwa miesiące później ta sama grupa wróciła pod nazwą BlackMatter. Trwała krótko. W listopadzie 2021 roku firma Emsisoft odkryła lukę w ich szyfrowaniu i opublikowała narzędzie deszyfrujące, a organy ścigania przejęły część infrastruktury. BlackMatter zamknął działalność - po raz drugi.
I po raz drugi to nie był koniec. W tym samym miesiącu, w listopadzie 2021, na forach cyberprzestępczych pojawił się ALPHV/BlackCat. Nowa marka. Nowa strona do publikacji wykradzionych danych. I zupełnie nowy ransomware - pierwszy profesjonalny ransomware napisany w języku Rust.
Przedstawiciel BlackCat potwierdził później na forum publicznie, że grupa wywodzi się z ekosystemu DarkSide/BlackMatter, choć próbował dystansować się od tej historii. Analitycy z Emsisoft i Cisco Talos nie mieli wątpliwości - to ten sam zespół, który wyciągnął wnioski ze swoich błędów i wrócił z lepszym narzędziem.
Architektura techniczna - dlaczego Rust
BlackCat to pierwszy profesjonalny ransomware napisany w Rust. Wybór języka miał konkretne konsekwencje techniczne:
Wieloplatformowość z jednego codebase. Kompilacja na Windows (x86/x64), Linux (Debian, Ubuntu, ReadyNAS, Synology) i VMware ESXi. Afiliant otrzymywał jeden panel, z którego generował binarki na dowolną platformę ofiary - serwery wirtualizacji, NAS-y, stacje robocze.
Szyfrowanie. Cztery tryby szyfrowania do wyboru - Full, Fast, DotPattern i SmartPattern - z algorytmami AES (domyślny) lub ChaCha20 (fallback dla systemów bez sprzętowego AES-NI). Klucz AES generowany przez BCryptGenRandom, następnie szyfrowany kluczem publicznym RSA osadzonym w konfiguracji. Biblioteka Zeroize czyściła klucze z pamięci po użyciu - celowe utrudnienie odzyskania kluczy z memory dumpa.
Utrudniony reverse engineering. Rust kompiluje się do kodu maszynowego o innej strukturze niż C/C++ - w 2021 roku większość narzędzi do analizy malware (IDA Pro, Ghidra) słabo radziła sobie z binarkami Rust. Dodatkowe utrudnienie: uruchomienie wymagało parametru --access-token (32-bajtowy token losowy, unikalny per ofiara). Bez tokena ransomware nie startował - uniemożliwiało to analizę w sandboxie bez posiadania konkretnej próbki z tokenem.
Konfiguracja JSON. Każdy egzemplarz zawierał wbudowaną, zaszyfrowaną konfigurację JSON odszyfrowaną w runtime. Zawierała: klucz publiczny RSA, listę procesów do zatrzymania (np. vssadmin, wmic, backupy), usług do wyłączenia, rozszerzeń plików do szyfrowania, katalogów do pominięcia i poświadczenia do rozprzestrzeniania się (Domain Admin, jeśli pozyskane wcześniej).
| Element techniczny | Szczegóły |
|---|---|
| Język | Rust (pierwszy ransomware RaaS w Rust) |
| Platformy | Windows, Linux, VMware ESXi, NAS |
| Szyfrowanie | AES-256 lub ChaCha20, 4 tryby (Full/Fast/DotPattern/SmartPattern) |
| Wymiana kluczy | RSA (klucz publiczny w JSON config) |
| Ochrona kluczy | Zeroize (czyszczenie z pamięci po użyciu) |
| Anti-sandbox | --access-token (32 bajty, unikalny per ofiara) |
| Konfiguracja | Zaszyfrowany JSON w runtime, per-victim customization |
| Propagacja | PsExec, GPO, skradzione poświadczenia Domain Admin |
Model biznesowy - ransomware jako usługa
ALPHV/BlackCat działał w modelu Ransomware-as-a-Service (RaaS). Twórcy oprogramowania dostarczali infrastrukturę - panel zarządzania, stronę do publikacji danych, narzędzia do negocjacji - a afilianci, czyli niezależni operatorzy, przeprowadzali właściwe ataki. Zyski dzielono: afilianci otrzymywali 80-90% okupu, reszta trafiała do operatorów.
Do września 2023 roku FBI raportowało, że BlackCat skompromitował ponad 1000 organizacji na całym świecie i zebrał łącznie blisko 300 milionów dolarów w okupach. Ofiary obejmowały firmy z sektorów budownictwa, transportu, telekomunikacji, farmacji i usług finansowych. W 2023 roku zaatakowano między innymi Reddit.
Grupa stosowała podwójne i potrójne wymuszenie. Najpierw wykradała dane, potem szyfrowała systemy, a jeśli ofiara nadal odmawiała zapłaty - groziła atakami DDoS na jej infrastrukturę. Wykradzione dane publikowano na dedykowanej stronie w sieci Tor, porcjami, aby zwiększać presję negocjacyjną.
Operacja FBI - przejęcie i kontruderzenie
19 grudnia 2023 roku FBI, we współpracy z Europolem i agencjami z kilkunastu krajów, przejęło stronę BlackCat w sieci Tor i opublikowało narzędzie deszyfrujące, które pomogło ponad 500 ofiarom odzyskać dane. Operacja wyglądała na nokautujący cios.
Ale BlackCat nie zginął. W ciągu godzin od przejęcia grupa odbiła swoją stronę - okazało się, że zarówno FBI, jak i operatorzy BlackCat posiadali klucze do tej samej ukrytej usługi Tor. Przez kilka dni trwała groteskowa przepychanka: FBI wyświetlało baner o przejęciu, BlackCat go usuwał i wstawiał własny komunikat. Grupa ogłosiła, że znosi wszelkie ograniczenia dla afiliantów - od teraz mogą atakować szpitale, elektrownie jądrowe, cokolwiek chcą. To było zaproszenie do eskalacji.
Change Healthcare - 22 miliony, które zmieniły wszystko
11 lutego 2024 roku afiliant BlackCat uzyskał dostęp do sieci Change Healthcare, spółki zależnej UnitedHealth Group. Przez dziewięć dni poruszał się po infrastrukturze, kradnąc dane i przygotowując grunt pod szyfrowanie. 21 lutego uruchomił ransomware.
Skutki były natychmiastowe i katastrofalne. Change Healthcare przetwarzał transakcje dla ponad 67 000 aptek, 5 500 szpitali i setek tysięcy gabinetów lekarskich. Cały ten ekosystem stanął.
TIP
Atak na Change Healthcare dotknął dane 190 milionów Amerykanów - około 57% populacji USA. To największy wyciek danych medycznych w historii Stanów Zjednoczonych, zgłoszony do Departamentu Zdrowia i Opieki Społecznej.
UnitedHealth Group zapłacił okup. 1 marca 2024 roku na portfel kryptowalutowy powiązany z BlackCat wpłynęła pojedyncza transakcja o wartości około 22 milionów dolarów w Bitcoinie. CEO Andrew Witty potwierdził płatność publicznie, tłumacząc ją próbą ochrony danych pacjentów.
Łączne koszty ataku dla UnitedHealth Group przekroczyły 3,1 miliarda dolarów w samym 2024 roku - obejmując odbudowę systemów, wsparcie dla dostawców, koszty prawne i naprawę reputacji.
Exit scam - jak złodzieje okradli złodziei
I tu historia przybiera obrót, którego nikt się nie spodziewał.
3 marca 2024 roku na forum cyberprzestępczym Ramp pojawił się post użytkownika “Notchy” - afilianta, który przeprowadził atak na Change Healthcare. Notchy twierdził, że operatorzy BlackCat zabrali całe 22 miliony dolarów okupu i nie wypłacili mu należnej prowizji. Cztery terabajty wykradzionych danych medycznych nadal znajdowały się w jego posiadaniu.
Następnego dnia strona BlackCat w sieci Tor wyświetliła baner z informacją o przejęciu przez FBI. Wyglądał identycznie jak ten z grudnia 2023. Ale coś nie grało. Ekspert od ransomware, Fabian Wosar, szybko ustalił, że baner został skopiowany ze starej wersji strony i wyświetlony za pomocą prostego serwera HTTP w Pythonie. FBI i inne agencje zaprzeczyły, że przeprowadziły jakąkolwiek nową operację.
To nie było przejęcie. To był exit scam - operatorzy BlackCat upozorowali działania organów ścigania, aby uzasadnić zamknięcie operacji i uciec z pieniędzmi. Zabrali 22 miliony dolarów okupu, nie zapłacili afiliantom i zniknęli.
Afiliant Notchy, który nadal posiadał wykradzione dane, sprzedał je później innej grupie ransomware - RansomHub - która ponownie szantażowała UnitedHealth Group tymi samymi danymi. Firma mogła zostać zmuszona do zapłacenia po raz drugi.
Chronologia wydarzeń
| Data | Wydarzenie |
|---|---|
| Maj 2021 | Atak DarkSide na Colonial Pipeline; grupa zamyka działalność |
| Lipiec 2021 | Powrót jako BlackMatter |
| Listopad 2021 | BlackMatter zamyka operację; pojawia się ALPHV/BlackCat |
| Wrzesień 2023 | FBI raportuje ponad 1000 ofiar i 300 mln USD zebranych okupów |
| 19 grudnia 2023 | FBI przejmuje stronę BlackCat; publikacja narzędzia deszyfrującego |
| Grudzień 2023 | BlackCat odzyskuje stronę, znosi ograniczenia dla afiliantów |
| 11 lutego 2024 | Afiliant uzyskuje dostęp do sieci Change Healthcare |
| 21 lutego 2024 | Uruchomienie ransomware - systemy Change Healthcare padają |
| 1 marca 2024 | Transakcja 22 mln USD w Bitcoin na portfel BlackCat |
| 3 marca 2024 | Afiliant “Notchy” ujawnia na forum, że nie otrzymał prowizji |
| 5 marca 2024 | Fałszywy baner FBI na stronie BlackCat - exit scam |
| Kwiecień 2024 | RansomHub ponownie szantażuje UnitedHealth wykradzionymi danymi |
| Styczeń 2025 | UnitedHealth potwierdza: 190 mln osób dotkniętych wyciekiem |
Wnioski dla organizacji
Historia ALPHV/BlackCat ilustruje trzy zjawiska, które definiują współczesny krajobraz zagrożeń ransomware.
Rebrandowanie jako strategia przetrwania. DarkSide, BlackMatter, ALPHV/BlackCat - to trzy marki tej samej grupy, która po każdym starciu z organami ścigania wracała silniejsza. Przejęcie infrastruktury nie eliminuje zagrożenia, jeśli ludzie i wiedza pozostają nienaruszone.
Model RaaS rozmywa odpowiedzialność. W ataku na Change Healthcare afiliant przeprowadził operację, operatorzy zebrali pieniądze, a ofiara zapłaciła okup, który trafił do nikogo odpowiedzialnego za ochronę jej danych. Rozdzielenie ról między twórców narzędzi i wykonawców ataków utrudnia ściganie i negocjacje.
Płacenie okupu nie gwarantuje niczego. UnitedHealth zapłacił 22 miliony dolarów. Operatorzy uciekli z pieniędzmi. Afiliant sprzedał dane innej grupie. Firma stanęła wobec podwójnego szantażu i kosztów przekraczających 3 miliardy dolarów. Okup nie kupił ani bezpieczeństwa, ani spokoju.
TIP
Atak na Change Healthcare rozpoczął się od przejęcia konta pracownika, które nie było chronione uwierzytelnianiem wieloskładnikowym (MFA). Podstawowe mechanizmy kontroli dostępu - MFA, segmentacja sieci, monitoring ruchu lateralnego - mogą powstrzymać nawet zaawansowane grupy ransomware, zanim wyrządzą szkody.
Źródła:
- BlackCat Ransomware Group Implodes After Apparent $22M Payment - Krebs on Security
- How the ransomware attack at Change Healthcare went down: A timeline - TechCrunch
- UnitedHealth estimates 190M people impacted - Fierce Healthcare
- BlackCat ransomware shuts down in exit scam - BleepingComputer
- Threat Assessment: BlackCat Ransomware - Unit 42, Palo Alto Networks
- ALPHV is the first professional ransomware gang to use Rust - The Record
- From BlackMatter to BlackCat - Cisco Talos
- Exit Scam: BlackCat Ransomware Group Vanishes - The Hacker News