El Departamento de Justicia de EE.UU. (DoJ) anunció oficialmente la interrupción de la operación del ransomware BlackCat y creó una herramienta de descifrado que las víctimas pueden utilizar para recuperar el acceso a los archivos bloqueados por el malware.
Los documentos judiciales muestran que el FBI contó con la ayuda de una fuente humana confidencial (CHS) para actuar como afiliado de BlackCat y obtener acceso a un panel web utilizado para gestionar a las víctimas de la pandilla, en lo que es un caso de “hackear a los hackers”.
El mensaje de incautación indica que la operación policial fue realizada por la policía y agencias de investigación de EE.UU., Europol, Dinamarca, Alemania, Reino Unido, Países Bajos, Alemania, Australia, España y Austria.
BlackCat, también llamado ALPHV y Noberus, surgió en diciembre de 2021 y desde entonces se ha convertido en la segunda variante de ransomware como servicio más prolífica del mundo después de LockBit. También es la primera cepa de ransomware basada en lenguaje Rust detectada en la naturaleza.
El desarrollo pone fin a las especulaciones sobre una supuesta acción policial después de que su portal de filtración en la web oscura se desconectara el 7 de diciembre, solo para resurgir cinco días después con una sola víctima.
De todos modos el grupo dice que sigue trabajando y ya han creado un nuevo sitio web.
El FBI dijo que trabajó con docenas de víctimas en los EE.UU. para implementar el descifrador, salvándolas de demandas de rescate por un total de alrededor de 68 millones de dólares y que también obtuvo información sobre la red informática del ransomware, lo que le permitió recopilar 946 pares de claves públicas/privadas utilizadas por el grupo.
BlackCat, al igual que otras bandas de ransomware, utiliza un modelo de ransomware como servicio que involucra una combinación de desarrolladores principales y afiliados, que alquilan la carga útil y son responsables de identificar y atacar a instituciones víctimas de alto valor.
También emplea el esquema de doble extorsión para presionar a las víctimas para que paguen extrayendo datos confidenciales antes del cifrado. Con este acceso, el FBI supervisó silenciosamente la operación de ransomware durante meses mientras extraía claves de descifrado. Estas claves de descifrado permitieron al FBI ayudar a 500 víctimas a recuperar sus archivos de forma gratuita, ahorrando aproximadamente 68 millones de dólares en demandas de rescate.
“Los afiliados de BlackCat han obtenido acceso inicial a las redes de víctimas a través de varios métodos, incluido el aprovechamiento de credenciales de usuario comprometidas para obtener acceso inicial al sistema de víctimas”, dijo el Departamento de Justicia.
En total, se estima que el actor con motivación financiera comprometió las redes de más de 1.000 víctimas en todo el mundo para ganar cientos de millones de dólares en ingresos ilegales.
En todo caso, la caída ha demostrado ser una “bendición” para grupos rivales como LockBit, que ya está capitalizando la situación reclutando activamente afiliados desplazados y ofreciendo su sitio de filtración de datos para reanudar las negociaciones con las víctimas.
Fuente: THN