El Departamento de Justicia de Estados Unidos (DoJ) ha anunciado oficialmente la interrupción de la operación de ransomware BlackCat y ha liberado una herramienta de descifrado que más de 500 víctimas afectadas podrán utilizar para recuperar el acceso a los archivos que fueron bloqueados por el malware.
De acuerdo con documentos judiciales, el Buró Federal de Investigaciones de EEUU (FBI) contó con la ayuda de una fuente humana confidencial (FHC) para actuar como afiliado del grupo BlackCat y obtener acceso a un panel de administración web utilizado por la pandilla para manejar a sus víctimas en lo que se refiere a hackear a los hackers.
El esfuerzo confiscatorio implicó la colaboración y asistencia de varias agencias de aplicación de la ley de los Estados Unidos, Alemania, Dinamarca, Australia, Reino Unido, España, Suiza y Austria.
BlackCat, también conocido como ALPHV, GOLD BLAZER y Noberus, apareció por primera vez en diciembre de 2021, y desde entonces se ha convertido en la segunda variante de ransomware como servicio más prolífica del mundo después de LockBit. También es la primera cepa de ransomware basada en el lenguaje de programación Rust que se detectó en la naturaleza.
Este resultado pone fin a las especulaciones acerca de una acción de aplicación de la ley rumoreada después de que el portal de filtración de su dark web se desconectara el 7 de diciembre, para luego reaparecer cinco días después con una sola víctima.
El FBI dijo que trabajó con decenas de víctimas en Estados Unidos para implementar el descifrador, salvándolas de demandas de rescate que sumaron alrededor de $68 millones y que también obtuvo información sobre la red informática del ransomware, lo que le permitió recopilar 946 pares de claves públicas/privadas utilizadas para alojar los sitios TOR operados por el grupo y desmantelarlos.
Es importante tener en cuenta que generar un servicio oculto con la URL .onion en la red de anonimización TOR genera un par de claves único que comprende una clave privada y pública (también conocida como identificador) que se puede utilizar para acceder y controlar la URL.
Un actor que posea el par de claves puede, por lo tanto, transmitir una nueva ruta para redirigir el tráfico del sitio .onion a un servidor diferente bajo su control.
BlackCat, como varios otros grupos de ransomware, utiliza un modelo de ransomware como servicio que implica una mezcla de desarrolladores principales y afiliados, que alquilan la carga útil y son responsables de identificar y atacar a instituciones victimizadas de alto valor.
También emplea el esquema de doble extorsión para presionar a las víctimas a pagar exfiltrando datos sensibles antes del cifrado.
«Los afiliados de BlackCat han obtenido acceso inicial a las redes de las víctimas a través de diversos métodos, incluyendo el aprovechamiento de las credenciales de usuario comprometidas para obtener acceso inicial al sistema de la víctima», dijo el DoJ.
En total, se estima que el actor motivado financieramente ha comprometido las redes de más de 1.000 víctimas en todo el mundo para obtener casi $300 millones en ingresos ilegales hasta septiembre de 2023.
Si algo, el operativo ha resultado ser una bendición disfrazada para grupos rivales como LockBit, que ya está aprovechando la situación reclutando activamente afiliados desplazados, ofreciendo su sitio de filtración de datos para reanudar las negociaciones con las víctimas.
Hablando con el grupo de investigación de malware vx-underground, un portavoz de BlackCat dijo que «movieron sus servidores y blogs» y afirmó que las agencias de aplicación de la ley solo tenían acceso a una «clave vieja e inútil» para el sitio web antiguo que fue eliminado por el grupo hace mucho tiempo y no se ha utilizado desde entonces.
El sitio web de filtración más reciente del actor amenazante sigue funcionando en el momento de escribir este artículo. «El 13 de diciembre, el grupo publicó la primera víctima en su nuevo sitio de filtración», dijo Secureworks. «A fecha del 19 de diciembre, se publicaron cinco víctimas en el nuevo sitio, lo que demuestra que el grupo retuvo cierta capacidad operativa».
Sin embargo, horas después del operativo, el grupo BlackCat tomó medidas para «desbloquear» el sitio principal de filtración utilizando el mismo conjunto de claves criptográficas necesarias para alojar el servicio oculto en la red de TOR y publicar su propio aviso de requisición.
También ha dado luz verde a los afiliados para infiltrarse en entidades de infraestructuras críticas como hospitales y centrales nucleares, así como otros objetivos con excepción de aquellos dentro de la Comunidad de Estados Independientes (CEI) como medida de represalia. El FBI ha vuelto a confiscar el sitio web.
«Las amenazas parecen ser una postura de ‘ya lo has hecho’, pero este grupo ya tiene un historial documentado de atacar a objetivos de infraestructuras sanitarias y energéticas, así que parece una bravuconada», dijo la Unidad de Amenazas Contrarias (CTU) de Secureworks.
«Dado que tal actividad parece más probable que atraiga la atención de las fuerzas del orden, que es por lo que muchos grupos la evitan específicamente, parece poco probable que los afiliados elijan dirigirse específicamente a tales organizaciones, especialmente porque el ransomware es un delito oportunista en su mayor parte y está basado en el acceso disponible a las redes de las víctimas.»
«Sin embargo, algunos afiliados menos adversos al riesgo pueden estar más dispuestos a dirigirse a organizaciones energéticas y sanitarias. La otra cara es que es igual de probable que la incertidumbre causada por la interrupción de la aplicación de la ley aleje a los afiliados de BlackCat hacia los brazos de otros operadores de ransomware, como LockBit. Tales intervenciones generan desconfianza y paranoia entre los miembros y afiliados del grupo de ransomware.»
En una conversación con vx-underground, un administrador de LockBit describió la situación como «lamentable» y dijo que las vulnerabilidades en su infraestructura de seguridad son una amenaza principal para «mi negocio».
(La noticia se actualizó después de su publicación para incluir información adicional sobre la confiscación de la infraestructura).