Verschiedene Medien haben über eine vermeintliche Aktion des FBI berichtet. Die Strafverfolger hätten die Seite der Ransomware-Gruppe Alphv, auch bekannt als Black Cat, beschlagnahmt. Die Meldung war nicht abwegig: Auf der Darkwebseite der Gruppe ist nur noch das entsprechende Banner zu sehen.

Offenbar aber hat die Gruppe dies selbst inszeniert, nachdem sie eine grössere Lösegeldzahlung erhalten habe. Berichten von mehreren spezialisierten News-Plattformen zufolge ist die Gruppe untergetaucht. Gleichzeitig soll Alphv einen Partner um viel Geld betrogen haben.

Das Banner, das auf der Darkwebseite zu sehen ist, listet eine Reihe von Behörden auf, die an der vermeintlichen Aktion beteiligt gewesen sein sollen. Darunter befindet sich die britische National Crime Agency (NCA). Diese bestätigt auf Anfrage von 'Bleeping Computer', dass man nicht an einer solchen Aktion beteiligt gewesen sei. Das FBI hat sich nicht dazu geäussert.

Im Dezember schalteten das FBI und Strafverfolgungsbehörden tatsächlich viele der von Alphv genutzten Server ab. Eine Zeit lang war auf der Seite ein Bild zu sehen, das identisch mit dem aktuellen ist. Securityforschende vermuten, dass die Ransomware-Bande das Bild einfach von der älteren Website kopiert hat.

Diese Vermutungen sowie das Dementi der britischen NCA, lassen mehrere Fachleute schlussfolgern, dass die Gruppe die Beschlagnahmung inszeniert hat, um unterzutauchen.

Hintergrund könnte der Erhalt einer grösseren Lösegeldzahlung von 22 Millionen Dollar sein. Vor rund zwei Wochen legte Alphv den im US-Gesundheitswesen wichtigen Zahlungsdienstleister Change Healthcare lahm. Der Vorfall zog Krankenhäuser, Gesundheitsdienstleister und Apotheken in den gesamten USA in Mitleidenschaft.

Gemäss 'Ars Technica' erhielt die Gruppe später fast 22 Millionen Dollar in Kryptowährung. Dies zeige der Bitcoin Ledger. Es wird vermutet, dass es sich dabei um Lösegeld von Change Healthcare im Austausch für gestohlenen Daten gehandelt hat. Das Unternehmen äusserte sich bislang nicht dazu, ob es Lösegeld bezahlt hat.

Wie die meisten seiner Mitstreiter arbeitet Alphv nach einem Ransomware-as-a-Service-Modell, bei dem die Kerngruppe die Ransomware und die Infrastruktur bereitstellt und sich an Partnerunternehmen wendet, die die eigentlichen Hacking-Angriffe auf die Opfer übernehmen. Beide Parteien erhalten schliesslich einen Anteil an den Erlösen. Wie 'Bleeping Computer' berichtet, hat die Gruppe offenbar beschlossen, die gesamte Summe aus dem Angriff auf Change Healthcare für sich zu behalten. Ein Partner habe sich beklagt, er sei um seinen Anteil geprellt worden.

Es ist nicht das erste Mal, dass Ransomware-Gruppen oder einzelne Mitglieder zwischenzeitlich untertauchen. Gemäss 'Bleeeping Computer' führen die Wurzeln von Alphv zu einer Gruppe namens Darkside, auch bekannt als Blackmatter. Diese war vor einigen Jahren für den Angriff auf Colonial Pipeline verantwortlich.

Darkside stellte seine Aktivitäten ein, unter anderem weil der Colonial-Angriff für sehr viel Aufmerksamkeit sorgte. Später tauchten einzelne Mitglieder wieder auf – neu aber unter dem Namen Alphv respektive Blackcat. Dass sich Alphv nun zurückziehe, könnte auch mit dem Schlag gegen Lockbit zusammenhängen. Auch wenn sich die Bande bereits wieder zurückgemeldet hat, habe die Aktion für viel Unruhe in der Ransomware-Szene gesorgt, heisst es bei 'Ars Technica'.