ALPHV　摘発されたフリして解散

ランサムウェアグループALPHV（別名Blackcat）が摘発を偽装して解散しました。

ちなみにALPHVは2023年12月に米FBIに摘発されましたがすぐに復活しています。

そして今回は摘発されていないのに摘発されたとのこと。

ALPHVのサイトにはFBIなどのエンブレムが貼られており、さもFBIがこのサイトを押収したかのように書かれていますが、FBIによるとそんな事実は無いそうです。

ALPHV解散の経緯

まず登場人物は以下の3者です。

米国の医療システムにおける医師、薬局、医療提供者、患者間の最大の支払い交換プラットフォーム企業とのことです。

ランサムウェアを開発しそれをリースして、 ” アフィリエイト ” と呼ばれる実行部隊を被害企業などに侵入させデータを暗号化し、その企業から身代金を得ます。

ALPHVの手下として、実際に被害企業に侵入するグループです。

多くのグループがあり、今回侵入したグループの詳細は分かっていません。

ALPHVから技術的なサポートを受けながら被害企業に侵入し、データを暗号化します。

それが成功するとALPHVにこれを報告します。

あとはALPHVが被害企業と身代金交渉をして、身代金が手に入るとALPHVとアフィリエイトの間で山分けします。（正確な割合は不明ですが、アフィリエイト側がその75-80%くらいを得る約束です。）

2024年2月21日UnitedHealth Group の子会社である Change Healthcare は、サイバー攻撃によりシステムを停止しました。
同3月1日被害を受けたChange Healthcareから、2200万ドル（32.5億円）分のBitcoiが身代金としてALPHVへ支払われました。
同3月3日アフィリエイト側と見られる ” notchy ” という人物が、Change Healthcareへのに侵入に成功したのに、その身代金の分け前をALPHVから貰えてないと地下犯罪フォーラムに投稿。
同3月4日ALPHVは「これはFBIのせいだ」と責任転嫁して誤魔化します。同時にALPHVランサムウェアのソースコードを500万ドルで売りに出しました。
同3月5日ALPHVのサイトに摘発のメッセージが表示されました。

理由としては、

ALPHVは32億円という大金をアフィリエイト側と山分けするのが惜しくなってしまった。（約束通りだとその大半をアフィリエイトに分けなくてはなりません。）

そしてこのままお金を持ち逃げして解散することにした。

しかし ” お金の山分けが惜しくて解散しました ” となればいかにも人聞きが悪いです。

これからのダークウェブの世界で住みにくくなります。

そこで苦し紛れにFBIに摘発されたことにした。

といった推測がなされています。

ちなみにALPHVのリーダーは当局（米国務省）から懸賞金を掛けられていました。
解散の潮時だと思い至ったのかもしれません。

まあこんなことを繰り返していればランサムウェアグループは、アフィリエイト達からの信頼を失っていくでしょうね。

そしてそうなれば現状の犯罪エコシステムも崩壊していくのかも。それが望ましいことですが。

一方、先日はLockBitが摘発されましたが、その後すぐに復活宣言をしており、アフィリエイト達の信頼を得るた為にそのブランドイメージの回復に懸命なようです。