O reinado do dedo de terror do segundo grupo de ransomware mais ativo do mundo, ALPHV (BlackCat), chegou ao termo ou não?
Se perguntarmos à coligação de forças policiais globais que recentemente se apoderou da sua infra-estrutura, obteremos uma resposta clara. sim em resposta a essa pergunta.
O primeiro sinal de que o ALPHV estava em apuros surgiu em 7 de dezembro, quando os sites obscuros usados pelo grupo para publicar vazamentos de dados e conduzir negociações de ransomware desapareceram repentinamente. Isso é altamente incomum: sites obscuros usados por grupos de ransomware são uma peça vital da infraestrutura necessária para seu protótipo de negócios. Sem isso, eles não poderão mais se enviar ou negociar resgates.
Isto implicava que o ALPHV tinha sido perturbado por qualquer tipo de obra policial. No dia 19 de dezembro, isso foi confirmado quando o Departamento de Justiça dos EUA (DOJ) anunciou que uma operação internacional havia apreendido os servidores do grupo.
Para deixar evidente, qualquer pessoa que visitasse o domínio darknet do grupo teria recebido a mensagem “leste domínio foi apreendido” junto com o logotipo do Departamento de Justiça dos EUA.
Término do jogo, certamente.
Mas o ALPHV não alcançou seu nível de estrelato e notoriedade ficando parado. Em 19 de dezembro, seu domínio supostamente ressuscitou com a mensagem desafiadora “ESTE SITE FOI DESAPREENDIDO”.
Isso durou unicamente duas horas antes que o DOJ recuperasse o controle, mas as idas e vindas demonstraram alguma coisa nunca antes visto nas remoções de crimes cibernéticos: os criminosos reagindo.
Estranhamente, em retaliação, o grupo disse que também tinha removido as restrições impostas aos seus afiliados de testilhar infra-estruturas nacionais críticas (CNI), porquê hospitais – porquê se, de qualquer forma, isso já não estivesse a sobrevir regularmente.
Morde a poeira
Independentemente disso, leste ainda é um grande golpe para o ALPHV.
Em Novembro de 2023, o grupo sentiu-se suficientemente arrogante para denunciar uma das suas alegadas vítimas à Percentagem de Valores Mobiliários dos EUA (SEC) por não ter relatado um incidente de segurança cibernética.
Porquê informamos na estação, foi uma tática atrevida, mas criativa, gerar publicidade para uma plataforma Ransomware porquê serviço (RaaS) que tem sido uma das maiores ameaças em ransomware desde que apareceu pela primeira vez no final de 2021.
Sabemos agora, através do DOJ, que mesmo enquanto prosseguia esta campanha invulgar, o ALPHV (pelo menos na sua forma recente) vivia com um tempo emprestado durante vários meses.
Parece que a polícia penetrou na infra-estrutura do grupo há qualquer tempo e tem medido discretamente o seu funcionamento interno para recolher informações adicionais. Embora presumivelmente isto tenha permitido ao grupo continuar a perseguir as vítimas, também teria oferecido às autoridades uma visão mais profunda das suas operações mais amplas.
Isto não é unicamente um pormenor. Acredita-se que o grupo tenha usado vários nomes ao longo dos anos, incluindo DarkSide, que foi interrompido pela polícia em junho de 2021, e porquê BlackMatter, cuja utensílio de criptografia foi quebrada por uma empresa de segurança alguns meses depois.
O que impede o ALPHV de simplesmente iniciar pela terceira vez com outro nome? Além do impacto em sua reputação, não muito. No entanto, também é verosímil que a operação policial mais longa tenha produzido o tipo de informação que tornará isso mais difícil desta vez.
Porquê a polícia se aprofundou tanto em uma importante plataforma de ransomware? É improvável que qualquer dia saibamos, mas talvez não seja inteiramente coincidência que o Departamento de Estado tenha recentemente começado a oferecer recompensas substanciais no contexto do programa TOCRP por informações sobre grupos proeminentes, no valor de 10 milhões de dólares por unidade.
Isso é uma pinga no oceano para um grupo de ransomware, talvez, mas um pagamento decente para um insider motivado e disposto a virar pombo.
Recuperação de arquivos
O que a última remoção significa para as vítimas é que o FBI recuperou as chaves de descriptografia que permitirão que 500 centenas de vítimas do ALPHV recuperassem seus arquivos. Isso foi equivalente a resgates totalizando US$ 68 milhões, disseram as autoridades dos EUA.
Se há um pormenor em todas essas boas notícias, é que descriptografar arquivos não é mais a história toda do ransomware de hoje. Mais prejudicial é o roubo de dados privados durante estes ataques, que agora desapareceram para sempre e são irrecuperáveis.
A derrubada do ALPHV foi um presente inesperado, mas nenhuma ação policial trará dados de volta posteriormente o indumentária.
