2023年12月19日，美国司法部正式宣布破坏了BlackCat勒索软件的运作，并发布了一款解密工具，使得全球超过500名受害者能够恢复该恶意软件加密文件的访问权限。

BlackCat（又称ALPHV、GOLD BLAZER、Noberus），是首个在野外发现的基于Rust语言的勒索软件变种，首次出现于2021年12月，此后迅速发展成为继LockBit之后的全球第二大勒索软件服务。据统计，该勒索软件团伙已经侵入了全球1000多个受害者的网络，截至2023年9月，非法收入已达到近3亿美元。

司法部新闻稿显示，美国联邦调查局FBI聘请了一名机密人员以合作伙伴的身份与AlphV/Blackcat组织接触，后续取得了用于管理该组织受害者的网络面板的访问权限。该行动全程有美国、德国、丹麦、澳大利亚、英国、西班牙、瑞士和奥地利等多个执法机构的合作和协助。

FBI周二公布的搜查令显示，执法机构能够识别并收集了AlphV/Blackcat使用的946对公钥/私钥——用于运行各种洋葱服务，如合作伙伴面板、泄密网站以及受害者通讯网站。FBI表示，他们利用获取到的解密密钥创建了一个解密器，使得美国数十名受害者能够免受约6800万美元的赎金要求。

然而，事情并不到此为止。虽然周二起AlphV/Blackcat勒索软件团伙的网站已被FBI的官方查封页面所取代，但后续又变回了该勒索软件团伙的页面，该组织在新页面上声称已经夺回页面并重新将其控制。该页面信息中称，由于FBI的行动，他们会取消先前为合作伙伴设定的“禁止攻击医院、核电站及类似机构”的规定，只要这些机构是位于独立国家联合体以外的地区。

之所以会发生这种情况，首先需要了解到TOR网络的运作机制。AlphV/Blackcat的运营建立在一种特殊类型的匿名网站之上（即暗网），只能通过Tor网络访问。当用户在Tor网络的.onion网址上创建一个隐藏服务时会生成一个由私钥和公钥组成的唯一密钥对，用于访问和控制该网址。

安全研究人员对此说明道，.onion地址的工作方式是，只要你有签名密钥，假如你另外注册了一个具有该地址的新服务器，最新的服务器将被默认认为是真实的。在本案例中，勒索软件团伙和FBI都掌握了控制这些服务的私钥，他们正在进行对洋葱网站的控制权的争夺，网站页面所显示的内容取决于谁的条目被Tor网络优先处理。

以往遇到这种情况，黑客组织无一不是悄悄消失，等到淡出视野后再以另一个名字复出，敢这么跟执法机构叫板的网络犯罪团伙并不多见。其用意也很明显，无非是为了在一定程度上挽回局面。经此一事，其合作伙伴不可避免地会对该组织运营安全持怀疑态度。一些高级威胁研究员在暗网论坛上已经看到，LockBit等组织正打算挖走AlphV/Blackcat的合作伙伴，甚至是开发人员。

编辑：左右里

资讯来源：美司法部

转载请注明出处和本文链接