De website van de criminelen achter de ALPHV-ransomware, ook bekend als BlackCat, laat sinds vandaag een melding zien dat die door de FBI in beslag is genomen, maar volgens de bekende beveiligingsonderzoeker en ransomware-expert Fabian Wosar is er sprake van een exit scam. ALPHV hanteert een 'ransomware-as-a-service' (RaaS) model. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden.

Onlangs werd in de Verenigde Staten het bedrijf Change Healthcare slachtoffer van een ransomware-aanval. Change Healthcare speelt een zeer belangrijke rol in de Amerikaanse gezondheidszorg en verwerkt declaraties en medicijnrecepten voor zorginstellingen en apotheken. Door de aanval krijgen zorginstellingen hun zorg niet vergoed en kunnen in sommige gevallen geen zorg of medicijnen leveren. De American Hospital Association heeft het Amerikaanse Congres opgeroepen om in actie te komen en ziekenhuizen te ondersteunen.

Afgelopen zondag plaatste een partner van ALPHV een bericht op een forum dat ze verantwoordelijk waren voor de aanval op Change Healthcare, maar door de ransomwaregroep waren opgelicht. Onderzoekers denken dat Change Healthcare een losgeldbedrag van 22 miljoen dollar betaalde, maar dit is niet bevestigd door het zorgbedrijf. Vervolgens klaagden ook andere ALPHV-partners dat ze geen toegang meer tot de omgeving hadden voor het uitvoeren van hun ransomware-aanvallen. Gisteren werd de broncode van de ransomware te koop aangeboden voor een bedrag van 5 miljoen dollar, zo meldt het goed ingevoerde VX-underground.

Vandaag is er een melding op de ALPHV-website verschenen die lijkt te suggereren dat de website in beslag is genomen door de FBI. Volgens Wosar is het gewoon een opgeslagen eerdere 'takedown notice' van een andere website, waarbij hij ook wijst naar de gebruikte code en de code die bij daadwerkelijke inbeslagnames zichtbaar is. Wosar nam ook contact op met contacten bij Europol en het Britse National Crime Agency, maar die hadden ook geen details. "Dit is een slechte poging van ALPHV/BlackBat om hun exit scam te verbergen, trap er niet in", aldus de expert. Eerder bleek ook dat de criminelen achter de Revil-ransomware hun partners hadden opgelicht.