El FBI Desmantela la Operación del Ransomware BlackCat y Publica una Herramienta de Desencriptación Gratuita

El Departamento de Justicia de EE. UU. (DoJ) ha anunciado oficialmente la interrupción de la operación de ransomware BlackCat y ha publicado una herramienta de desencriptación que más de 500 víctimas afectadas pueden utilizar para recuperar el acceso a los archivos bloqueados por el malware.

Los documentos judiciales muestran que el Buró Federal de Investigaciones (FBI) de EE. UU. reclutó la ayuda de una fuente humana confidencial (CHS) para actuar como afiliado del grupo BlackCat y obtener acceso a un panel web utilizado para gestionar las víctimas de la banda, en lo que es un caso de hackear a los hackers.

El esfuerzo de confiscación involucró la colaboración y asistencia de múltiples agencias policiales de EE. UU., Alemania, Dinamarca, Australia, Reino Unido, España, Suiza y Austria.

BlackCat, también conocido como ALPHV, GOLD BLAZER y Noberus, surgió por primera vez en diciembre de 2021 y desde entonces se ha convertido en la segunda variante de ransomware como servicio más prolífico del mundo después de LockBit. También es la primera cepa de ransomware basada en el lenguaje Rust que se ha detectado en la naturaleza.

Este desarrollo pone fin a las especulaciones sobre una acción policial rumoreada después de que su portal de filtración en la dark web se desconectara el 7 de diciembre, solo para reaparecer cinco días después con solo una víctima.

El FBI dijo que trabajó con docenas de víctimas en EE. UU. para implementar el desencriptador, ahorrándoles demandas de rescate por un total de aproximadamente $68 millones, y que también obtuvo información sobre la red informática del ransomware, lo que le permitió recopilar 946 pares de claves pública/privada utilizadas para alojar los sitios TOR operados por el grupo y desmantelarlos.

Un dato importante aquí es que la creación de un servicio oculto con la URL .onion en la red de anonimato TOR genera un par de claves único que comprende una clave privada y pública (también conocida como el identificador) que se puede usar para acceder y controlar la URL.

Un actor que posea el par de claves puede, por lo tanto, transmitir una nueva ruta redirigiendo el tráfico del sitio .onion a un servidor diferente bajo su control.

BlackCat, al igual que varios otros grupos de ransomware, utiliza un modelo de ransomware como servicio que implica una combinación de desarrolladores principales y afiliados, quienes alquilan la carga útil y son responsables de identificar y atacar a instituciones víctimas de alto valor.

También emplea el esquema de doble extorsión para presionar a las víctimas a que paguen mediante la filtración de datos sensibles antes del cifrado.

"Los afiliados de BlackCat han obtenido acceso inicial a las redes de las víctimas a través de varios métodos, incluido el aprovechamiento de credenciales de usuario comprometidas para obtener acceso inicial al sistema de la víctima", dijo el DoJ.

En total, se estima que el actor motivado financieramente ha comprometido las redes de más de 1,000 víctimas en todo el mundo para obtener casi $300 millones en ingresos ilegales hasta septiembre de 2023.

Fuente de la imagen: Resecurity

En cualquier caso, el desmantelamiento ha resultado ser una bendición disfrazada para grupos rivales como LockBit, que ya están capitalizando la situación al reclutar activamente a afiliados desplazados, ofreciendo su sitio de filtración de datos para reanudar las negociaciones con las víctimas.

Hablando con el grupo de investigación de malware vx-underground, un portavoz de BlackCat dijo que "han movido sus servidores y blogs", afirmando que las agencias de aplicación de la ley solo tenían acceso a una "clave antigua estúpida" para el antiguo sitio del blog que fue eliminado por el grupo hace mucho tiempo y que no ha sido utilizado desde entonces.

El sitio web de filtración más reciente del actor amenazante sigue operativo hasta el momento de escribir este texto. "El 13 de diciembre, el grupo publicó la primera víctima en su nuevo sitio de filtración", dijo Secureworks. "Hasta el 19 de diciembre, cinco víctimas fueron publicadas en el nuevo sitio, demostrando que el grupo retuvo cierta capacidad operativa".

Sin embargo, horas después del desmantelamiento, el grupo BlackCat tomó medidas para "desembargar" el sitio principal de filtración utilizando el mismo conjunto de claves criptográficas necesarias para alojar el servicio oculto en la red TOR y publicar su propio aviso de embargo.

También ha dado luz verde a los afiliados para infiltrarse en entidades de infraestructura crítica como hospitales y plantas de energía nuclear, así como en otros objetivos con la excepción de aquellos dentro de la Comunidad de Estados Independientes (CEI) como medida de represalia. El FBI ha vuelto a embargar el sitio web.

En una conversación con vx-underground, un administrador de LockBit describió la situación como "desafortunada" y que las lagunas de seguridad en su infraestructura son una amenaza principal para "mi negocio".

Fuente y créditos: FBI Takes Down BlackCat Ransomware, Releases Free Decryption Tool (thehackernews.com)

Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.