Clicky

El FBI desmonta el ransomware BlackCat y lanza una herramienta de descifrado gratuita

ransomware BlackCat

BlackCat emplea el esquema de doble extorsión para presionar a las víctimas

El Departamento de Justicia de EE. UU. (DoJ) anunció oficialmente la interrupción de las operaciones del ransomware BlackCat y lanzó una herramienta de descifrado que pueden utilizar más de 500 víctimas afectadas para recuperar el acceso a los archivos bloqueados por el malware.

Los documentos judiciales muestran que la Oficina Federal de Investigaciones (FBI) de EE. UU. solicitó la ayuda de una fuente humana confidencial (CHS) para actuar como afiliado del grupo BlackCat y obtener acceso a un panel web utilizado para gestionar a las víctimas de la banda, en lo que es un caso de hackear a los hackers.

El esfuerzo de confiscación implicó la colaboración y asistencia de múltiples agencias policiales de EE. UU., Alemania, Dinamarca, Australia, Reino Unido, España, Suiza y Austria.

BlackCat, también llamado ALPHV, GOLD BLAZER y Noberus, surgió por primera vez en diciembre de 2021 y desde entonces se ha convertido en la segunda variante de ransomware como servicio más prolífica del mundo después de LockBit. También es la primera cepa de ransomware basada en lenguaje Rust detectada en la naturaleza.

El desarrollo pone fin a las especulaciones sobre una supuesta acción policial después de que su portal de filtración en la web oscura se desconectara el 7 de diciembre, solo para resurgir cinco días después con una sola víctima.

El FBI dijo que trabajó con docenas de víctimas en los EE. UU. para implementar el descifrador, salvándolas de demandas de rescate por un total de alrededor de 68 millones de dólares, y que también obtuvo información sobre la red informática del ransomware, lo que le permitió recopilar 946 pares de claves públicas/privadas utilizadas para alojar los sitios TOR operados por el grupo y desmantelarlos.

Una cosa importante a tener en cuenta aquí es que la creación de un servicio oculto con la URL .onion en la red de anonimización TOR genera un par de claves único que comprende una clave pública y privada (también conocida como el identificador) que se puede utilizar para acceder y controlar la URL.

Por lo tanto, un actor que esté en posesión del par de claves puede transmitir una nueva ruta que redirija el tráfico del sitio .onion a un servidor diferente bajo su control.

BlackCat, al igual que otras bandas de ransomware, utiliza un modelo de ransomware como servicio que involucra una combinación de desarrolladores principales y afiliados, que alquilan la carga útil y son responsables de identificar y atacar a instituciones víctimas de alto valor.

También emplea el esquema de doble extorsión para presionar a las víctimas para que paguen extrayendo datos confidenciales antes del cifrado.

"Los afiliados de BlackCat han obtenido acceso inicial a las redes de víctimas a través de varios métodos, incluido el aprovechamiento de credenciales de usuario comprometidas para obtener acceso inicial al sistema de víctimas", dijo el Departamento de Justicia.

En total, se estima que el actor con motivación financiera comprometió las redes de más de 1.000 víctimas en todo el mundo para ganar casi 300 millones de dólares en ingresos ilegales hasta septiembre de 2023.

aviso de Lockbit

En todo caso, la caída ha demostrado ser una bendición disfrazada para grupos rivales como LockBit, que ya está capitalizando la situación reclutando activamente afiliados desplazados y ofreciendo su sitio de filtración de datos para reanudar las negociaciones con las víctimas.

En declaraciones al grupo de investigación de malware vx-underground, un portavoz de BlackCat dijo que "han movido sus servidores y blogs", afirmando que las fuerzas del orden sólo tenían acceso a una "vieja y estúpida clave" del antiguo blog que fue eliminada por el grupo hace mucho tiempo y que desde entonces no ha sido utilizada.

El sitio web de filtración más reciente del actor de amenazas permanece operativo al momento de escribir este artículo. "El 13 de diciembre, el grupo publicó la primera víctima en su nuevo sitio de filtración", dijo Secureworks. "A partir del 19 de diciembre, cinco víctimas fueron enviadas al nuevo sitio, lo que demuestra que el grupo conservaba cierta capacidad operativa".

Sin embargo, horas después del desmantelamiento, el grupo BlackCat tomó medidas para "desmantelar" el sitio de filtración principal utilizando el mismo conjunto de claves criptográficas necesarias para alojar el servicio oculto en la red TOR y publicar su propio aviso de incautación.

También ha dado luz verde a sus afiliados para infiltrarse en entidades de infraestructura crítica, como hospitales y plantas de energía nuclear, así como en otros objetivos, con excepción de aquellos dentro de la Comunidad de Estados Independientes (CEI), como medida de represalia. Desde entonces, el FBI ha vuelto a apoderarse del sitio web.

En una conversación con vx-underground, un administrador de LockBit describió la situación como "desafortunada" y que las lagunas de seguridad en su infraestructura son una amenaza principal para "mi negocio".

Jesus_Caceres