El FBI incautó el sitio web oscuro de ALPHV/Blackcat Ransomware

Mensaje de incautación del FBI en el sitio de filtración de datos ALPHV1600×1179 204 KB

Las agencias encargadas de hacer cumplir la ley, incluido el FBI, el Departamento de Justicia de los EE. UU. y varias organizaciones de seguridad europeas que trabajan bajo Europol, han eliminado con éxito el sitio web del famoso cibercriminal ALPHV, también conocido como Blackcat.

ALPHV/Blackcat Ransomware, un famoso servicio de ransomware, ha logrado infectar a más de 1000 víctimas en todo el mundo.

En el mundo del cibercrimen, existe un modelo inquietantemente popular conocido como ransomware como servicio. Este modelo involucra a un grupo de desarrolladores que se especializan en crear y actualizar ransomware y que también mantienen la infraestructura de Internet necesaria para llevar a cabo sus actividades ilícitas. Uno de esos grupos que opera de esta manera es Blackcat.

El notorio grupo de ransomware ALPHV/BlackCat se ha apropiado del ciberataque que causó una interrupción significativa en las operaciones de MGM Resorts, una cadena de hoteles y casinos de gran prestigio. Este ataque dirigido ha causado graves daños a los sistemas de la empresa y ha generado preocupaciones sobre la seguridad de los datos de los clientes.

Herramienta de descifrado del FBI

El FBI creó una herramienta de descifrado que permitió a las oficinas de campo del FBI en todo el país y a los socios encargados de hacer cumplir la ley a nivel mundial brindar a más de 500 víctimas afectadas la capacidad de recuperar sus sistemas.

Como parte de la investigación , el FBI obtuvo acceso a la red informática perteneciente al grupo de ransomware Blackcat. La agencia también se ha apoderado de varios sitios web del grupo.

“El anuncio de hoy destaca la capacidad del Departamento de Justicia para enfrentarse incluso a los ciberdelincuentes más sofisticados y prolíficos”, dijo el Fiscal Federal Markenzy Lapointe para el Distrito Sur de Florida.

“El FBI sigue siendo implacable a la hora de llevar a los ciberdelincuentes ante la justicia y decidido en sus esfuerzos por derrotar e interrumpir las campañas de ransomware dirigidas a infraestructuras críticas, el sector privado y más allá”, dijo el subdirector del FBI, Paul Abbate.

La orden establece que una variante de ransomware ha afectado la infraestructura crítica en los Estados Unidos. Esto incluye instalaciones gubernamentales, servicios de emergencia, empresas industriales de defensa, instalaciones de fabricación críticas, atención médica y salud pública, así como otras corporaciones, entidades gubernamentales y escuelas.

BlackCat “desapodera” el sitio de filtración de datos

El martes por la tarde, la operación de ransomware “desmanteló” su sitio de filtración de datos para recuperar el control de la URL y afirmó que el FBI obtuvo acceso a un centro de datos que estaban utilizando para alojar servidores.

Como tanto los operadores de ALPHV como el FBI ahora controlan las claves privadas utilizadas para registrar la URL cebolla del sitio de fuga de datos en Tor, pueden ir y venir, apoderándose de la URL entre sí, lo que se ha hecho a lo largo del día.

Sitio de fuga de datos de BlackCat "no aprovechado"1600×1169 128 KB

Sitio de fuga de datos de BlackCat “no aprovechado”

Como parte del mensaje de anulación de incautación de ALPHV, la pandilla anunció el lanzamiento de una nueva URL Tor para su sitio de fuga de datos de la que el FBI no tiene claves privadas y, por lo tanto, no puede incautar. BleepingComputer ha redactado intencionalmente esta URL de la imagen de arriba.

La banda de ransomware afirmó que el FBI sólo obtuvo acceso a las claves de descifrado durante el último mes y medio, es decir, unas 400 empresas. Sin embargo, dijeron que otras 3.000 víctimas ahora perderán sus llaves.

La operación también dijo que están eliminando todas las restricciones a sus afiliados, permitiéndoles apuntar a cualquier organización que deseen, incluida la infraestructura crítica. Los afiliados todavía tienen restringido el ataque a países de la Comunidad de Estados Independientes (CEI), que anteriormente formaban parte de la Unión Soviética.

Finalmente, la operación de ransomware ha aumentado la participación en los ingresos de los afiliados al 90% del rescate pagado, lo que probablemente los convencerá de cambiar a un ransomware como servicio de la competencia.

La declaración completa traducida automáticamente se comparte a continuación:

"Como todos sabéis, el FBI consiguió las llaves de nuestro blog, ahora os contamos cómo fue.

Primero, cómo sucedió todo, después de examinar sus documentos, entendemos que obtuvieron acceso a uno de los DC, porque todos los demás DC estaban intactos, resulta que de alguna manera piratearon a uno de nuestros proveedores de alojamiento, tal vez incluso él mismo los ayudó. .

Lo máximo que tienen son las claves del último mes y medio, son unas 400 empresas, pero ahora más de 3.000 empresas nunca recibirán sus claves por culpa de ellas.

Debido a sus acciones, estamos introduciendo nuevas reglas, o más bien eliminando TODAS las reglas excepto una, no se puede tocar la CEI, ahora se pueden bloquear hospitales, plantas de energía nuclear, cualquier cosa y en cualquier lugar.

La tasa es ahora del 90% para todos los anuncios.

No damos ningún descuento a empresas, el pago es estrictamente el monto que especificamos.

Los anunciantes VIP reciben su programa de afiliados privado, que creamos sólo para ellos, en un DC separado, completamente aislado entre sí.

Gracias por su experiencia, tomaremos en cuenta nuestros errores y trabajaremos aún más duro, esperando sus quejas en las salas de chat y solicitudes para hacer descuentos que ya no existen".