Amerikaanse FBI brengt decryptietool uit tegen BlackCat-ransomware

De Amerikaanse FBI heeft een decryptietool uitgebracht waarmee slachtoffers van Alphv/BlackCat-ransomware opnieuw toegang tot hun versleutelde bestanden kunnen krijgen. De veiligheidsdienst zou ook enkele websites van de ransomewarebende hebben ontmanteld.

Volgens het Amerikaanse ministerie van Justitie heeft BlackCat, ook bekend als Alphv, wereldwijd al meer dan 1000 slachtoffers gemaakt. De groepering was volgens het ministerie het afgelopen anderhalf jaar een van de bedrijvigste ransomewarebendes ter wereld en zou al honderden miljoenen dollars hebben geïnd.

In de Verenigde Staten zouden niet enkel bedrijven getroffen zijn door de bende; ook overheidsdiensten, nooddiensten, kritische infrastructuurinstellingen en scholen zouden slachtoffer zijn geworden. De FBI zou al meer dan 500 slachtoffers hebben kunnen helpen om gegevens terug te krijgen of door systemen te herstellen. De inlichtingendienst roept andere slachtoffers op om in contact te treden, zodat ook zij de tool kunnen gebruiken.

Eind 2022 kwam Alphv/BlackCat ook in Nederland in het nieuws. Toen raakte bekend dat het vaccinbedrijf Bilthoven Biologicals was getroffen door de ransomwarebende en dat data van Nederlandse Kamerleden was gelekt na een hack bij de leverancier van toegangssystemen voor de Eerste en Tweede Kamer. De hackersgroep zou dit jaar ook achter de Reddit-hack hebben gezeten. De ransomewarebende had toen geëist dat het bestuur van Reddit de toenmalige api-wijzigingen zou terugdraaien.

Reacties (37)

SniperEye 19 december 2023 19:56

De bedragen die dit soort groeperingen weten binnen te halen zijn bizar. Tegelijkertijd ook zorgelijk. Het zijn bedragen die de omzet van grote multinationals naderen. Wat als dit soort partijen er wapens van gaan kopen? Het geld moet ergens worden witgewassen.

nst6ldr @SniperEye • 19 december 2023 20:17

Wat als dit soort partijen er wapens van gaan kopen?

Dat doen ze al: Noord Korea en Rusland.

litebyte @SniperEye • 19 december 2023 22:06

Veel van dit soort groepen opereren (sommigen worden geleid als een echt bedrijf, met een managementstructuur en personeelswervingscampagnes) vooral in het soort landen die of er zelf belang bij hebben om geopolitieke dan wel financiele redenen, of waar de overheid niet bij machte is om er goed tegen op te treden.

Dus het geld hoeft niet altijd te worden wit gewassen, het zijn dan een soort van ambtenaren/trendvolgers die in de praktijk alle ruimte krijgen (al dan niet in opdracht van) om hun werkzaamheden uit te voeren.

Er wordt vaak gewezen naar westerse landen m.b.t. de slachtoffers, maar vele honderen miljoenen worden vooral ook 'gescoord' in rijke landen/staten in het midden-oosten, met Dubai als uitschieter.

cariolive23 @SniperEye • 19 december 2023 20:37

Misschien heb je het gemist, maar dit soort groepen zijn vaak gewoon in dienst van een overheid. Dit zijn ambtenaren die van 9 tot 5 aan het hacken zijn, professionals.

Waarom hacken anno 2023 nog steeds wordt gezien als iets voor een eenzame nerd in z'n kamertje, is mij een raadsel.

Orangelights23 @cariolive23 • 19 december 2023 21:17

Wie zegt dan dat het een eenzame zolderhacker zou zijn? Er zijn tientallen berichten alleen dit jaar al die het hebben over ransomware, RaaS, de grote losgelden gevraagd en double extortion.

Dit zijn professionele bedrijven die aan due diligence doen, een medewerker van de maand hebben en bonussen geven aan de meest succesvolle medewerkers, aldus wat rapportages die ik heb gelezen.

DigitalExorcist @Orangelights23 • 21 december 2023 15:13

En die rapportages hebben gelijk. Het zijn 'gewoon' complete bedrijven. HR afdeling, helpdesk, finance, development alles erop en eraan.

Onder andere natuurlijk. Er zijn ook genoeg scriptkiddies die alle mogelijke tooltjes inzetten. Maar daar is bij dit soort groeperingen (Alphv, Lockbit noem ze maar) geen sprake van.

DigitalExorcist @cariolive23 • 19 december 2023 22:03

Er zijn nogal wat verschillende soorten hackers.

- Hacktivisten (verbeter de wereld… leg bepaalde bedrijven of sectoren plat om je gelijk te halen en je idealen te bereiken)
- Scriptkiddies (hey kijk ik heb Kali geïnstalleerd, yolo!)
- State Actors (in dienst van vijandige overheden op jacht naar inlichtingen of spionage)
- Criminele groepen (ransomware-as-a-service bijv. om snel geld te verdienen)
- Terroristen (angst zaaien, publieke onrust veroorzaken, infra platleggen)
- 'Insider threats' (bijv. ontevreden of ontslagen werknemers)
- Bedrijfsspionage (jij hebt mooie data op je website staan, zou zónde zijn als daar iets mee zou gebeuren! Of verkoop van bedrijfsgeheimen aan diens eigen werkgever)

[Reactie gewijzigd door DigitalExorcist op 24 juli 2024 13:41]

j-phone @Woodsnaps • 20 december 2023 01:11

Een hacker heeft tegenwoordig niets meer van doen met tv karikaturen. En Jan en alleman hebben niet de skills om verder te komen dan het handige IT neefje van vroeger en blijft hangen in de groep die we 'script kiddie' noemen.

De 'stereotypen' zijn gewoon onderkend in cybersecurity.

DigitalExorcist @j-phone • 21 december 2023 09:19

Klopt. Élk bedrijf en individu dat ook maar een schilfertje cybersecurity doet wéét dit ook gewoon. Het hele zwart-wit denken is járen geleden al ontkracht en veruit de meeste categoriëen zijn gewoon bekend en geïndexeerd. Kijk bijv. naar het ATT&CK framework, Microsoft, Sophos, Trend, maar ook elk ander zichzelf respecterend individu of bedrijf wéét dit. Maar ja.

DigitalExorcist @Woodsnaps • 20 december 2023 07:37

Nee, ik werk als security analyst / run een SOC en het is mijn beroep om dit soort dingen te weten. En ik ben er goed in.

De motieven zijn vaak prima duidelijk, zie mijn lijstje. Het is overigens niet een lijstje wat ik zelf bedacht heb natuurljk, elk bedrijf dat ook maar *iets* weet van cyberveiligheid kent die lijst uiteraard uit z'n hoofd.

Natuurlijk is er wat overlap (terrorisme kan prima als state actor uitgevoerd worden en een script kiddie kan best lid zijn van een ransomwaregroepering) maar de hoofdlijnen staan doorgaans vast.

[Reactie gewijzigd door DigitalExorcist op 24 juli 2024 13:41]

Milanobrotchen @Woodsnaps • 20 december 2023 10:52

Volgens mij kijk jij teveel televisie en hangt je neus teveel in Reddit om dit soort stereotypen te kunnen onderscheidden.

Dit vat wel ongeveer samen wat ik op mijn IT opleiding heb geleerd.

nullbyte @Woodsnaps • 21 december 2023 20:12

Het zijn letterlijk jan en alleman die tegenwoordig dit uitvoeren,

Letterlijk of figuurlijk? Kom kom, je bent geen Amerikaan toch. Het woord "letterlijk" in verkeerde context in vrijwel elke zin gebruiken om te overdrijven doen we hier niet.

en wat voor motief ze hebben, zal ons allemaal een groot raadsel blijven

Wellicht is het jou een raadsel. Personen met een baan in de Cyber Security en met een stuk of wat SANS cursussen achter de kiezen zullen het wat beter begrijpen.

[Reactie gewijzigd door nullbyte op 24 juli 2024 13:41]

Woodsnaps @nullbyte • 21 december 2023 20:37

Helaas voor jou ben ik dus wel een Amerikaan. Sorry dat mijn afkomst jou dwars zit en zoveel negatieve gevoelens bij je oproept.

nullbyte @Woodsnaps • 21 december 2023 20:58

Uhuh en ik ben toevallig een Canuck, toevallig ook Amerikaan. Maar goed, ik schreef het zelf verkeerd. Ik bedoelde natuurlijk de good ol' US of A.

De VS zit mij zeker niet dwars noch roept deze negatieve gevoelens bij mij op.
Het irriteert me enkel dat men daar om de zin het woord "letterlijk" lijkt te gebruiken. Helemaal als mensen het misbruik van dit woord in verkeerde context in het Nederlands over lijken nemen.

Verder, I love the USA!

MetalG 19 december 2023 20:04

Hoe komt het dat er voor recentere ransomwares tools uitkomen en voor oudere niet?
Heb iemand die zo al jaren de encrypted kinder foto's bijhoudt. ( zepto ransomware denk ik ).

Af en toe kijk ik eens maar tot dusver nog geen fix..

Alexing @MetalG • 19 december 2023 20:12

In dit geval meen ik dat de politiediensten toegang hebben gekregen tot de infrastructuur van de ransomware groepering, en daar de sleutels bemachtigd heeft. Dat lukt ze niet altijd, en als de versleuteling dan voldoende goed is geïmplementeerd zal het ze niet zo snel lukken om een tool te publiceren die de versleuteling kraakt.

Hawkysoft @MetalG • 19 december 2023 23:08

Omdat de meeste ransomware toch aardig complex zijn geschreven, encrypted, geobfusceerd, en sommige zijn heel makkelijk te reversen, of misbruiken wat anderen voorheen al hebben gemaakt en bekend is. Tevens laten sommige genoeg achter om de oplossing wel te vinden maar de meest huidige totaal niks, en heb je echt een custom decryptietool/sleutel nodig zitten best veel haken en ogen aan. En het kost ontiegelijk veel tijd, deze moet je ook kunnen verantwoorden in vele gevallen.. houdt iig www.nomoreransom.org in de gaten, hier komen de meeste decryptie tools wel op

Aerophobia1 @MetalG • 19 december 2023 22:34

Ze moeten maar net met wat geluk de sleutels weten te bemachtigen.

DigitalExorcist @Aerophobia1 • 21 december 2023 15:15

Niet perse 'geluk'.. infiltreer een paar Telegramgroepen, doe goed je onderzoek en je rolt een netwerk op. Dan heb je de beschikking over alles.

Ok het is niet zó simpel natuurlijk. Maar met 'geluk' heeft het weinig te maken. Het zijn vooral skills..

phoenix2149 @MetalG • 20 december 2023 15:07

Zo ook hier (vrienden) die geïnfecteerd waren door de DeadBolt ransomware op QNAP systemen.

Gelukkig waren ze op tijd bij mij voor de foto's en ze hadden <50% van de ruimte gebruikt dus volledige schaduwkopie. Maar documenten zijn nog steeds encrypted. heb bestanden naar een andere instantie gestuurd zoals de eerder genoemde www.nomoreransom.org, maar geen resultaat.

Hawkysoft @phoenix2149 • 20 december 2023 17:58

Waarschijnlijk heb je hem al geprobeerd, maar mocht je deze nog niet kennen...

https://www.emsisoft.com/en/ransomware-decryption/deadbolt/

en natuurlijk de page zelf voor vele decryptie tools
https://www.emsisoft.com/en/ransomware-decryption/

phoenix2149 @Hawkysoft • 21 december 2023 21:09

Geloof dat ik destijds ze gemaild had toen ze vroegen om een bestand om een proefontsleuteling te doen. Maar nooit iets terug gehoord. Wellicht is deze recent uitgebracht dus heb link even doorgestuurd om te proberen.

Hawkysoft @phoenix2149 • 22 december 2023 20:33

Hoop dat het werkt voor je, succes!

Mario 19 december 2023 20:36

Zou quantum-computing dan ook een eind maken aan ransomware? Volg het niet zo nauw maar het zou me toch een prachtige tool zijn als het specifiek hiervoor gebruikt kan worden.

Robbierut4 @Mario • 19 december 2023 20:55

Helaas niet. Afhankelijk van wat gebruikt is om het te encrypten kan een quantum computer misschien wel bestanden decrypten.

Echter, er zijn genoeg encryptie algoritmes die zogenaamd "quantum resistent" zijn. Als in, speciaal ontwikkeld dat een quantum computer er erg veel moeite mee heeft.
Super tof als je je gegevens prive wil houden. Maar zoals met alle techniek, het kan zowel voor goed als kwaad gebruikt worden.

j-phone @Mario • 20 december 2023 01:16

Quantum computing heeft de potentie om alle huidige asymmtrische encryptie te ontsleutelen. We missen alleen nog wat (q)bits om dit werkelijkheid te laten worden. Dus op het moment dat quantum computing de huidige ransomware kan ontsleutelen, kan het ook veel meer ontsleutelen.

MartijnH333 19 december 2023 22:03

Zou de Nederlandse FBI eens moeten doen...

Accretion @MartijnH333 • 20 december 2023 07:44

De politie en/of Interpol doen dit ook.

MartijnH333 @Accretion • 20 december 2023 08:01

Niet mijn punt 🤪

Beetje overbodig om het de Amerikaanse FBI te noemen. Welke moet het anders zijn 😱

Milanobrotchen @MartijnH333 • 20 december 2023 11:04

Zat ik inderdaad ook naar te kijken. Federal Bureau of Investigation. Volgens mij bestaat er niks anders wat ok FBI heet.

YopY @MartijnH333 • 20 december 2023 09:59

De RIVM (Nederland heeft geen FBI) en het NCSC doen anders genoeg aan anti-cybercrime, ook internationaal, ook in samenwerking met buitenlandse agentschappen; het is niet efficient als meerdere partijen hetzelfde probleem oplossen.

aikebah @YopY • 20 december 2023 13:00

RIVM? weet je dat zeker? Dat is niet echt een club (Rijksinstituut voor Volksgezondheid en Milieu) om iets met (anti)-cybercrime te doen. Lijkt me meer iets voor de MIVD, de AIVD en Team high tech crime van de politie, die ongetwijfeld alledrie wel in het (anti-)cybercrime domein de nodige activiteiten zullen hebben.

DigitalExorcist @aikebah • 21 december 2023 09:10

AIVD vooral. Niet het RIVM.

Amiga3000 21 december 2023 10:17

Fijn als je op de link naar de amerikaanse overheid klikt dat ze een mooie foutmelding geven

Additional uncaught exception thrown while handling exception.
Original
Drupal\Component\Plugin\Exception\PluginNotFoundException: Unable to determine class for field type 'comment' found in the 'field.storage.node.field_comments' configuration in Drupal\field\FieldStorageConfigStorage->mapFromStorageRecords() (line 167 of /mnt/www/html/justicegov/docroot/core/modules/field/src/FieldStorageConfigStorage.php).

Drupal\field\FieldStorageConfigStorage->mapFromStorageRecords(Array) (Line: 182)
Drupal\Core\Config\Entity\ConfigEntityStorage->doLoadMultiple(Array) (Line: 346)
Drupal\Core\Entity\EntityStorageBase->loadMultiple(Array) (Line: 498)
Drupal\Core\Entity\EntityBase::loadMultiple(Array) (Line: 183)
field_entity_field_storage_info(Object) (Line: 593)
Drupal\Core\Entity\EntityFieldManager->Drupal\Core\Entity\{closure}(Object, 'field') (Line: 405)
Drupal\Core\Extension\ModuleHandler->invokeAllWith('entity_field_storage_info', Object) (Line: 606)
Drupal\Core\Entity\EntityFieldManager->buildFieldStorageDefinitions('node') (Line: 467)
Drupal\Core\Entity\EntityFieldManager->getFieldStorageDefinitions('node') (Line: 491)
Drupal\Core\Entity\EntityFieldManager->getActiveFieldStorageDefinitions('node') (Line: 186)
Drupal\Core\Entity\Sql\SqlContentEntityStorage->__construct(Object, Object, Object, Object, Object, Object, Object, Object) (Line: 156)
Drupal\Core\Entity\Sql\SqlContentEntityStorage::createInstance(Object, Object) (Line: 269)
Drupal\Core\Entity\EntityTypeManager->createHandlerInstance('Drupal\node\NodeStorage', Object) (Line: 258)
Drupal\Core\Entity\EntityTypeManager->getHandler('node', 'storage') (Line: 192)
Drupal\Core\Entity\EntityTypeManager->getStorage('node') (Line: 130)
dynamic_entity_reference_views_data() (Line: 236)
Drupal\views\ViewsData->Drupal\views\{closure}(Object, 'dynamic_entity_reference') (Line: 405)

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (37)

Sorteer op:

Weergave: