El Ransomware BlackCat Aumenta la Apuesta Después de la Interrupción del FBI

El Oficina Federal de Investigaciones de EE. UU. (FBI) reveló hoy que se infiltró en la segunda pandilla de ransomware más prolífica del mundo, un grupo criminal con sede en Rusia conocido como ALPHV y Gato Negro. El FBI dijo que incautó el sitio web darknet de la pandilla y lanzó una herramienta de descifrado que cientos de empresas víctimas pueden usar para recuperar sistemas. Mientras tanto, BlackCat respondió "quitando el tamaño" brevemente de su sitio de la red oscura con un mensaje que prometía comisiones del 90 por ciento para los afiliados que continúan trabajando con el grupo criminal y abriendo temporada en todo, desde hospitales hasta plantas de energía nuclear.

Una versión ligeramente modificada del aviso de incautación del FBI en el sitio BlackCat darknet (se agregaron mayúsculas de Santa).

Los rumores de una posible acción policial contra BlackCat se produjeron en la primera semana de diciembre, después de que el sitio darknet del grupo de ransomware se desconectara y permaneciera inaccesible durante aproximadamente cinco días. BlackCat finalmente logró que su sitio volviera a estar en línea, culpando de la interrupción a mal funcionamiento del equipo.

Pero hoy temprano, el sitio web de BlackCat fue reemplazado por un aviso de incautación del FBI, mientras que los fiscales federales en Florida publicaron una orden de registro explicando cómo los agentes del FBI pudieron acceder e interrumpir las operaciones del grupo.

A declaración sobre la operación desde el Departamento de Justicia de los EE. UU. dice que el FBI desarrolló una herramienta de descifrado que permitió a las oficinas locales y socios de la agencia en todo el mundo ofrecer a más de 500 víctimas afectadas la capacidad de restaurar sus sistemas.

"Con una herramienta de descifrado proporcionada por el FBI a cientos de víctimas de ransomware en todo el mundo, las empresas y las escuelas pudieron reabrir, y los servicios de salud y emergencia pudieron volver a estar en línea". Fiscal General Adjunta Lisa O. Monaco dijo. "Continuaremos priorizando las interrupciones y colocando a las víctimas en el centro de nuestra estrategia para desmantelar el ecosistema que alimenta el delito cibernético.”

El Departamento de Justicia informa que desde la formación de BlackCat hace aproximadamente 18 meses, el grupo criminal ha atacado las redes informáticas de más de 1,000 organizaciones de víctimas. Los ataques de BlackCat suelen implicar cifrado y robo de datos; si las víctimas se niegan a pagar un rescate, los atacantes suelen publicar los datos robados en un sitio de darknet vinculado a BlackCat.

BlackCat se formó reclutando operadores de varias organizaciones de ransomware competidoras o disueltas, que incluyen REvil, Materia negra y Lado Oscuro. Este último grupo fue responsable de la Ataque al Oleoducto Colonial en mayo de 2021 eso causó escasez de combustible en todo el país y aumentos de precios.

Al igual que muchas otras operaciones de ransomware, BlackCat opera bajo el modelo de "ransomware como servicio", donde los equipos de desarrolladores mantienen y actualizan el código de ransomware, así como toda su infraestructura de soporte. Los afiliados tienen incentivos para atacar objetivos de alto valor porque generalmente obtienen del 60 al 80 por ciento de los pagos, y el resto va a los delincuentes que ejecutan la operación de ransomware.

BlackCat pudo recuperar brevemente el control de su servidor darknet hoy. No mucho después de que se publicara el aviso de incautación del FBI, la página de inicio fue "desinformada" y actualizada con una declaración sobre el incidente desde la perspectiva del grupo de ransomware.

El mensaje que estuvo brevemente en la página de inicio del grupo de ransomware BlackCat esta mañana. Imagen: @ GossiTheDog.

BlackCat afirmó que la operación del FBI solo afectó una parte de sus operaciones y que, como resultado de las acciones del FBI, 3000 víctimas adicionales ya no tendrán la opción de recibir claves de descifrado. El grupo también dijo que estaba eliminando formalmente cualquier restricción o desánimo en contra de atacar hospitales u otra infraestructura crítica.

"Debido a sus acciones, estamos introduciendo nuevas reglas, o más bien, estamos eliminando TODAS LAS reglas excepto una, no se puede tocar la CEI [una restricción común contra atacar organizaciones en Rusia o el Comunidad de Estados Independientes]. Ahora puedes bloquear hospitales, plantas de energía nuclear, cualquier cosa, en cualquier lugar.”

El grupo criminal también dijo que estaba estableciendo comisiones de afiliados en un 90 por ciento, presumiblemente para atraer el interés de posibles afiliados que de otro modo podrían asustarse por la reciente infiltración del FBI. BlackCat también prometió que todos los" anunciantes " bajo este nuevo esquema administrarían sus cuentas de afiliados desde centros de datos que están completamente aislados entre sí.

El sitio darknet de BlackCat actualmente muestra el aviso de incautación del FBI. Pero como BleepingComputer fundador Lawrence Abrams explicado en Mastodon, tanto el FBI como BlackCat tienen las claves privadas asociadas con la URL del servicio oculto de Tor para el sitio de vergüenza de víctimas y filtración de datos de BlackCat.

"Quien sea el último en publicar el servicio oculto en Tor( en este caso, el sitio de filtración de datos BlackCat), reanudará el control sobre la URL", dijo Abrams. "Espere ver este tipo de ida y vuelta en los próximos días .”

El Departamento de Justicia dice que cualquiera con información sobre afiliados de BlackCat o sus actividades pueden ser elegibles para una recompensa de hasta0 10 millones a través del Departamento de Estado "Recompensas por la Justicia"programa, que acepta presentaciones a través de una línea de consejos basada en Tor (visitar el sitio solo es posible utilizando el Navegador Tor).

Lecturas adicionales: Alerta CISA StopRansomware sobre las herramientas, técnicas y procedimientos utilizados por ALPHV/ BlackCat.