BlackCat parece estar quemando puentes con sus afiliados con estas acciones
Los actores de amenazas detrás del ransomware BlackCat cerraron su sitio web oscuro y probablemente realizaron una estafa de salida después de cargar un banner falso de incautación policial.
"ALPHV/BlackCat no fue confiscado. Están estafando a sus afiliados", dijo el investigador de seguridad Fabian Wosar. "Es descaradamente obvio cuando se revisa el código fuente del nuevo aviso de incautación".
"No hay absolutamente ninguna razón por la que las autoridades simplemente coloquen una versión guardada del aviso de cierre durante una incautación en lugar del aviso de cierre original".
La Agencia Nacional contra el Crimen (NCA) del Reino Unido dijo a Reuters que no tenía conexión con ninguna interrupción en la infraestructura de BlackCat.
El investigador de seguridad de Recorded Future, Dmitry Smilyanets, publicó capturas de pantalla en la plataforma de redes sociales X en las que los actores de BlackCat afirmaban que "los federales nos arruinaron" y que tenían la intención de vender el código fuente del ransomware por 5 millones de dólares.
El acto de desaparición se produce después de que supuestamente recibió un pago de rescate de 22 millones de dólares de la unidad Change Healthcare (Optum) de UnitedHealth y se negó a compartir las ganancias con un afiliado que había llevado a cabo el ataque.
La compañía no ha comentado sobre el supuesto pago del rescate, sino que afirma que sólo se centra en los aspectos de investigación y recuperación del incidente.
Según DataBreaches, el afiliado descontento, cuya cuenta fue suspendida por el personal administrativo, hizo las acusaciones en el foro de cibercrimen RAMP. "Vaciaron la billetera y se llevaron todo el dinero", dijeron.
Esto ha generado especulaciones de que BlackCat ha organizado una estafa de salida para evadir el escrutinio y resurgir en el futuro bajo una nueva marca. "Está pendiente un cambio de marca", dijo un ahora ex administrador del grupo de ransomware.
Las fuerzas del orden confiscaron su infraestructura a BlackCat en diciembre de 2023, pero la banda de delitos electrónicos logró arrebatar el control de sus servidores y reiniciar sus operaciones sin mayores consecuencias. El grupo operaba anteriormente bajo los apodos DarkSide y BlackMatter.
"Internamente, BlackCat puede estar preocupado por los topos dentro de su grupo, y cerrar la tienda de manera preventiva podría detener un derribo antes de que ocurra", dijo Malachi Walker, asesor de seguridad de DomainTools.
"Por otro lado, esta estafa de salida podría ser simplemente una oportunidad para que BlackCat tome el efectivo y se vaya. Dado que las criptomonedas están nuevamente en su punto más alto de todos los tiempos, la banda puede salirse con la suya vendiendo su producto 'alto'. En el mundo del cibercrimen, la reputación lo es todo, y BlackCat parece estar quemando puentes con sus afiliados con estas acciones".
La aparente desaparición del grupo y el abandono de su infraestructura se producen cuando el grupo de investigación de malware VX-Underground informó que la operación de ransomware LockBit ya no es compatible con Lockbit Red (también conocido como Lockbit 2.0) y StealBit, una herramienta personalizada utilizada por el actor de amenazas para la filtración de datos.
LockBit también ha tratado de salvar las apariencias trasladando algunas de sus actividades a un nuevo portal de la web oscura después de que una operación coordinada de aplicación de la ley derribara su infraestructura el mes pasado después de una investigación de meses.
También se produce cuando Trend Micro reveló que la familia de ransomware conocida como RA World (anteriormente RA Group) se ha infiltrado con éxito en compañías de atención médica, financieras y de seguros en los EE. UU., Alemania, India, Taiwán y otros países desde que surgió en abril de 2023.
Los ataques organizados por el grupo "implican componentes de varias etapas diseñados para garantizar el máximo impacto y éxito en las operaciones del grupo", señaló la firma de ciberseguridad.