O Departamento de Justiça dos EUA (DoJ) anunciou oficialmente a interrupção da operação do ransomware BlackCat e divulgou uma ferramenta de descriptografia que mais de 500 vítimas afetadas podem usar para recuperar o acesso aos arquivos bloqueados pelo malware.
Documentos judiciais mostram que o Federal Bureau of Investigation (FBI) dos EUA recrutou a ajuda de uma fonte humana confidencial (CHS) para agir como afiliado do grupo BlackCat e obter acesso a um painel web usado para gerenciar as vítimas do grupo, no que é um caso de invadir os invasores.
O esforço de confisco envolveu colaboração e assistência de várias agências de aplicação da lei dos EUA, Alemanha, Dinamarca, Austrália, Reino Unido, Espanha, Suíça e Áustria.
BlackCat, também chamado de ALPHV, GOLD BLAZER e Noberus, surgiu pela primeira vez em dezembro de 2021 e desde então tornou-se a segunda variante de ransomware-como-serviço mais prolífica do mundo depois do LockBit.
Ele também é a primeira cepa de ransomware baseada na linguagem Rust identificada em estado selvagem.
O desenvolvimento põe fim a especulações de uma ação legal rumorada depois que seu portal de vazamento na dark web saiu do ar em 7 de dezembro, apenas para ressurgir cinco dias depois com apenas uma única vítima.
O FBI disse que trabalhou com dezenas de vítimas nos EUA para implementar o descriptografador, poupando-as de demandas de resgate totalizando cerca de $68 milhões, e que também ganhou conhecimento sobre a rede de computadores do ransomware, permitindo que coletasse 946 pares de chaves pública/privada usado para hospedar os sites TOR operados pelo grupo e desmantelá-los.
Uma coisa importante a notar aqui é que a criação de um serviço oculto com a URL .onion na rede de anonimização TOR gera um par de chaves único composto por uma chave privada e uma pública (também conhecida como identificador) que pode ser usado para acessar e controlar a URL.
Um ator que está de posse do par de chaves pode, portanto, transmitir uma nova rota redirecionando o tráfego para o site .onion para um servidor diferente sob seu controle.
BlackCat, como várias outras gangues de ransomware, usa um modelo de ransomware como serviço envolvendo uma mistura de desenvolvedores principais e afiliados, que alugam a payload e são responsáveis por identificar e atacar instituições vítimas de alto valor.
Ele também emprega o esquema de extorsão dupla para pressionar as vítimas a pagar, extraindo dados sensíveis antes da criptografia.
"Os afiliados do BlackCat obtiveram acesso inicial às redes das vítimas através de vários métodos, incluindo o aproveitamento de credenciais de usuário comprometidas para obter acesso inicial ao sistema da vítima", disse o DoJ.
Em suma, estima-se que o ator motivado financeiramente tenha comprometido as redes de mais de 1.000 vítimas em todo o mundo para ganhar quase $300 milhões em receitas ilegais até setembro de 2023.
Se for alguma coisa, a derrubada se mostrou uma benção disfarçada para grupos rivais como o LockBit, que já está capitalizando a situação ao recrutar ativamente afiliados deslocados, oferecendo seu site de vazamento de dados para retomar as negociações com as vítimas.
Falando ao grupo de pesquisa de malware vx-underground, um porta-voz do BlackCat disse "eles moveram seus servidores e blogs", alegando que as agências de aplicação da lei só tinham acesso a uma "chave antiga estúpida" para o antigo site do blog, que foi excluído pelo grupo há muito tempo e desde então não tem sido usado.
O mais novo site de vazamento do ator de ameaça permanece operacional no momento da redação.
"Em 13 de dezembro, o grupo publicou a primeira vítima em seu novo site de vazamento", disse a Secureworks.
"Em 19 de dezembro, cinco vítimas foram postadas no novo site, demonstrando que o grupo manteve alguma capacidade operacional."
No entanto, horas após a derrubada, o grupo BlackCat tomou medidas para "desapadrinhar" o site principal de vazamento usando o mesmo conjunto de chaves criptográficas necessárias para hospedar o serviço oculto na rede TOR e postar seu próprio aviso de apreensão.
Ele também deu luz verde aos afiliados para infiltrar entidades de infraestrutura crítica, como hospitais e usinas nucleares, bem como outros alvos, com a exceção daqueles dentro da Comunidade dos Estados Independentes (CIS) como medida de retaliação.
O FBI desde então retomou o site.
Em uma conversa com vx-underground, um administrador LockBit descreveu a situação como "infeliz" e que as brechas de segurança em sua infraestrutura são uma ameaça principal ao "meu negócio."
(A história foi atualizada após a publicação para incluir informações adicionais sobre a apreensão da infraestrutura.())
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...