本周二，美國司法部宣布FBI成功搗毀了ALPHV（BlackCat、黑貓）勒索軟件組織的服務(wù)器，并通過前期監(jiān)控繳獲了大量解密密鑰。但ALPHV發(fā)動(dòng)反攻并聲稱FBI的圍剿給數(shù)千個(gè)受害者帶來了災(zāi)難性的后果。

繳獲500個(gè)解密密鑰

12月7日，ALPHV的網(wǎng)站突然停止工作（包括其Tor談判網(wǎng)站和數(shù)據(jù)泄露站點(diǎn)），當(dāng)時(shí)ALPHV的管理員聲稱網(wǎng)站停機(jī)是因?yàn)椤巴泄軉栴}”，直至周二司法部發(fā)公告證實(shí)，F(xiàn)BI成功侵入并搗毀了ALPHV的基礎(chǔ)設(shè)施。

據(jù)報(bào)道，過去幾個(gè)月中FBI取得了ALPHV基礎(chǔ)設(shè)施的訪問權(quán)，悄悄監(jiān)控其操作同時(shí)竊取了解密密鑰。FBI用這些解密密鑰免費(fèi)幫助500名勒索軟件受害者恢復(fù)文件，節(jié)省了約6800萬美元的贖金。

此外，F(xiàn)BI還查封了ALPHV的數(shù)據(jù)泄露網(wǎng)站的域名，該網(wǎng)站現(xiàn)在顯示一條橫幅，表明該網(wǎng)站已經(jīng)被國際執(zhí)法行動(dòng)查封：

FBI表示，他們識(shí)別并收集了946個(gè)Tor站點(diǎn)的公鑰/私鑰對(duì)，ALPHV勒索軟件組織使用這些站點(diǎn)來托管贖金談判站點(diǎn)和數(shù)據(jù)泄漏站點(diǎn)。

據(jù)Bleepingcomputer報(bào)道，自從ALPHV的服務(wù)器遭到破壞后，其附屬機(jī)構(gòu)就不再使用Tor站點(diǎn)的談判網(wǎng)站，通過電子郵件直接聯(lián)系受害者。這表明犯罪團(tuán)伙已經(jīng)意識(shí)到ALPHV基礎(chǔ)設(shè)施已被執(zhí)法部門破壞，繼續(xù)使用會(huì)帶來風(fēng)險(xiǎn)。

另一個(gè)勒索軟件巨頭LockBit則“乘火打劫”，向ALPHV的附屬機(jī)構(gòu)發(fā)出加盟要求。

ALPHV發(fā)動(dòng)反攻

“清剿活動(dòng)”的戰(zhàn)果似乎并未如美國司法部公告所描述的那般輝煌。本周二下午，ALPHV發(fā)動(dòng)反攻奪回了數(shù)據(jù)泄露站點(diǎn)（因?yàn)锳LPHV和FBI都有站點(diǎn)私鑰）。

被ALPHV奪回的數(shù)據(jù)泄漏站點(diǎn)

更糟糕的是，ALPHV宣稱FBI的行動(dòng)給受害者造成了災(zāi)難性的后果：“FBI在過去半個(gè)月內(nèi)獲得了約400家公司的解密密鑰，但（清剿活動(dòng)）導(dǎo)致3000家受害公司永遠(yuǎn)失去了解密密鑰?！?/p>

而且，被激怒的ALPHV還宣布，將取消對(duì)附屬機(jī)構(gòu)的所有限制，現(xiàn)在這些機(jī)構(gòu)可以無差別攻擊任何組織，包括關(guān)鍵基礎(chǔ)設(shè)施。

值得注意的是，這是ALPHV第三次“反圍剿”。2020年8月，DarkSide攻擊殖民地管道后迫于執(zhí)法行動(dòng)的壓力于2021年5月關(guān)閉。2021年7月31日，DarkSide更名為BlackMatter后回歸，但被Emsisoft利用漏洞創(chuàng)建解密器并查封服務(wù)器，導(dǎo)致其于同年11月再次關(guān)閉。2021年11月，BlackMatter更名為BlackCat/ALPHV后重出江湖并肆虐至今。

因此，即便FBI此次“圍剿”獲得成功，也能難阻止ALPHV再次改頭換面，重操舊業(yè)。